Malware Rocinante Mobile

Një fushatë e re malware synon përdoruesit e celularëve në Brazil, duke vendosur një Trojan bankar Android të quajtur Rocinante. Ky malware mund të regjistrojë goditjet e tasteve duke shfrytëzuar Shërbimin e Aksesueshmërisë dhe të mbledhë Informacionin Personal të Identifikueshëm (PII) nga viktimat përmes ekraneve të phishing që imitojnë banka të ndryshme. Për më tepër, ai përdor të dhënat e vjedhura për të marrë nën kontroll pajisjen, duke përdorur privilegjet e shërbimit të aksesueshmërisë për të marrë akses të plotë në distancë në pajisjen e infektuar.

Maskarimi si aplikacione legjitime

Malware po synon disa institucione të shquara financiare, duke përfshirë Itaú Shop dhe Santander, me aplikacione të rreme që paraqiten si Bradesco Prime dhe Correios Celular, ndër të tjera:

• Livelo Pontos (com.resgatelivelo.cash)
• Correios Recarga (com.correiosrecarga.android)
• Bratesco Prine (com.resgatelivelo.cash)
• Modulo de Segurança (com.viberotion1414.app)

Analiza e kodit burimor të malware zbulon se operatorët brenda vendit i referohen Rocinante si Pegasus ose PegasusSpy. Megjithatë, është e nevojshme të sqarohet se ky Pegasus nuk ka asnjë lidhje me spyware-in ndër-platformë të zhvilluar nga shitësi i mbikëqyrjes komerciale NSO Group.

Lidhje me familje të tjera malware

Pegasus i atribuohet një aktori kërcënimi të njohur si DukeEugene, i cili gjithashtu ka zhvilluar lloje të ngjashme malware si ERMAC , BlackRock , Hook dhe Loot, sipas një analize të fundit nga Silent Push.

Studiuesit kanë zbuluar se Rocinante përfshin elementë të ndikuar nga versionet e mëparshme të ERMAC. Rrjedhja e kodit burimor të ERMAC në vitin 2023 mund të ketë kontribuar në këtë zhvillim. Ky është rasti i parë ku një familje origjinale malware duket se ka inkorporuar pjesë të kodit të rrjedhur në të tyren. Është gjithashtu e mundur që Rocinante dhe ERMAC përfaqësojnë degë të veçanta të të njëjtit projekt fillestar.

Rocinante Banking Trojan synon të dhëna të ndjeshme

Rocinante përhapet kryesisht përmes faqeve të internetit të phishing të krijuara për të mashtruar përdoruesit për të instaluar aplikacione të falsifikuara pikatore. Pasi të instalohen, këto aplikacione kërkojnë privilegje të shërbimit të aksesueshmërisë për të monitoruar të gjitha aktivitetet në pajisjen e infektuar, për të përgjuar mesazhet SMS dhe për të shfaqur faqet e hyrjes për phishing.

Malware gjithashtu lidhet me një server Command-and-Control (C2) për të marrë udhëzime në distancë, duke përfshirë simulimin e ngjarjeve me prekje dhe rrëshqitje. Informacioni personal i mbledhur i dërgohet një roboti Telegram, i cili nxjerr të dhëna të dobishme të marra përmes faqeve të rreme të hyrjes që imitojnë bankat e synuara. Ky informacion më pas formatohet dhe ndahet në një bisedë të arritshme për kriminelët.

Detajet ndryshojnë në varësi të faqes së rreme të hyrjes së përdorur dhe përfshijnë informacione të pajisjes si modeli dhe numri i telefonit, numri CPF, fjalëkalimi ose numri i llogarisë.

Aktorët e kërcënimit shfrytëzojnë vektorë të ngjashëm infeksioni

Zhvillimi i Rocinante Banking Trojan përkon me studiuesit e sigurisë kibernetike që zbulojnë një fushatë të re malware bankare Trojan që synon rajonet spanjolle dhe portugalishtfolëse duke shfrytëzuar domenin safeserver.net.

Sulmi shumëfazor fillon me URL kërcënuese që i drejtojnë përdoruesit në një arkiv që përmban një skedar .hta të turbullt. Ky skedar aktivizon një ngarkesë JavaScript që kryen kontrolle të ndryshme AntiVM dhe AntiAV përpara se të shkarkojë ngarkesën përfundimtare të AutoIT. Ngarkesa e pagesës AutoIT ekzekutohet më pas përmes injektimit të procesit, duke synuar të mbledhë informacionin bankar dhe kredencialet nga sistemi i viktimës dhe të ekfiltrojë të dhënat në një server Command-and-Control (C2).