Роцинанте Мобиле Малваре
Нова кампања против злонамерног софтвера циља на кориснике мобилних уређаја у Бразилу, примењујући Андроид банковни тројанац под називом Роцинанте. Овај злонамерни софтвер може да евидентира притиске на тастере искоришћавањем услуге приступачности и прикупљањем личних идентификационих података (ПИИ) од жртава преко пхисхинг екрана који имитирају различите банке. Поред тога, користи украдене податке да преузме уређај, користећи привилегије услуге приступачности да би добио пун даљински приступ зараженом уређају.
Преглед садржаја
Маскирање у легитимне апликације
Малвер циља неколико истакнутих финансијских институција, укључујући Итау Схоп и Сантандер, са лажним апликацијама које се између осталог представљају као Брадесцо Приме и Цорреиос Целулар:
- Ливело Понтос (цом.ресгателивело.цасх)
- Цорреиос Рецарга (цом.цорреиосрецарга.андроид)
- Братесцо Прине (цом.ресгателивело.цасх)
- Модуло де Сегуранца (цом.виберотион1414.апп)
Анализа изворног кода малвера открива да оператери интерно називају Роцинантеа Пегасус или ПегасусСпи. Међутим, потребно је разјаснити да овај Пегасус нема везе са шпијунским софтвером за више платформи који је развио НСО Гроуп, добављач комерцијалног надзора.
Везе са другим породицама злонамерног софтвера
Пегасус се приписује претњи познатом као ДукеЕугене, који је такође развио сличне врсте малвера као што су ЕРМАЦ , БлацкРоцк , Хоок и Лоот, према недавној анализи Силент Пусх-а.
Истраживачи су открили да Роцинанте укључује елементе на које су утицале раније верзије ЕРМАЦ-а. Овом развоју је можда допринело цурење ЕРМАЦ-овог изворног кода из 2023. године. Ово је први случај када се чини да је оригинална породица злонамерног софтвера уградила делове кода који је процурио у сопствени. Такође је могуће да Роцинанте и ЕРМАЦ представљају одвојене огранке истог почетног пројекта.
Банкарски тројанац Роцинанте циља на осетљиве податке
Роцинанте се првенствено шири преко пхисхинг веб локација дизајнираних да обману кориснике да инсталирају фалсификоване апликације. Једном инсталиране, ове апликације захтевају привилегије услуге приступачности за надгледање свих активности на зараженом уређају, пресретање СМС порука и приказивање страница за пријаву на пхисхинг.
Злонамерни софтвер се такође повезује са сервером за команду и контролу (Ц2) да би примио удаљена упутства, укључујући симулацију догађаја додира и превлачења. Прикупљени лични подаци се шаљу Телеграм боту, који извлачи корисне податке добијене преко лажних страница за пријављивање које се лажно представљају за циљне банке. Ове информације се затим форматирају и деле у ћаскању доступном криминалцима.
Детаљи се разликују у зависности од лажне странице за пријаву која се користи и укључују информације о уређају као што су модел и број телефона, ЦПФ број, лозинка или број налога.
Актери претње искориштавају сличне векторе инфекције
Развој банковног тројанца Роцинанте поклапа се са истраживачима сајбер безбедности који откривају нову банковну тројанску кампању злонамерног софтвера која циља на регионе у којима се говори шпански и португалски тако што искоришћавају домен сецуресервер.нет.
Вишефазни напад почиње претећим УРЛ адресама које усмеравају кориснике на архиву која садржи замагљени .хта фајл. Ова датотека покреће ЈаваСцрипт корисно оптерећење које спроводи различите АнтиВМ и АнтиАВ провере пре преузимања коначног АутоИТ корисног оптерећења. Корисно оптерећење АутоИТ-а се затим извршава кроз убризгавање процеса, са циљем да се сакупе банкарске информације и акредитиви из система жртве и ексфилтрирају подаци на сервер за команду и контролу (Ц2).
