Rocinante mobil skadlig programvara
En ny skadlig kampanj riktar sig till mobilanvändare i Brasilien och använder en Android-banktrojan som heter Rocinante. Denna skadliga programvara kan logga tangenttryckningar genom att utnyttja tillgänglighetstjänsten och samla in personlig identifierbar information (PII) från offer genom nätfiskeskärmar som efterliknar olika banker. Dessutom använder den stulna data för att ta över enheten och utnyttjar tillgänglighetstjänstens rättigheter för att få full fjärråtkomst till den infekterade enheten.
Innehållsförteckning
Maskerad som legitima tillämpningar
Skadlig programvara riktar sig till flera framstående finansiella institutioner, inklusive Itaú Shop och Santander, med falska applikationer som bland annat utger sig för att vara Bradesco Prime och Correios Celular:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
Analys av skadlig programvaras källkod visar att operatörerna internt refererar till Rocinante som Pegasus eller PegasusSpy. Det är dock nödvändigt att klargöra att denna Pegasus inte har någon koppling till det plattformsoberoende spionprogram som utvecklats av den kommersiella övervakningsleverantören NSO Group.
Anslutningar till andra familjer med skadlig programvara
Pegasus tillskrivs en hotaktör känd som DukeEugene, som också har utvecklat liknande skadliga stammar som ERMAC , BlackRock , Hook och Loot, enligt en färsk analys av Silent Push.
Forskare har upptäckt att Rocinante innehåller element som påverkats av tidigare versioner av ERMAC. 2023-läckan av ERMAC:s källkod kan ha bidragit till denna utveckling. Detta är det första fallet där en originalfamilj med skadlig programvara verkar ha införlivat delar av den läckta koden i sin egen. Det är också möjligt att Rocinante och ERMAC representerar separata grenar av samma initiala projekt.
Rocinante Banking Trojan riktar sig mot känsliga data
Rocinante sprids i första hand genom nätfiskewebbplatser som är utformade för att lura användare att installera förfalskade dropparapplikationer. När de är installerade begär dessa applikationer åtkomsttjänstprivilegier för att övervaka alla aktiviteter på den infekterade enheten, fånga upp SMS-meddelanden och visa inloggningssidor för nätfiske.
Skadlig programvara ansluter också till en Command-and-Control-server (C2) för att ta emot fjärrinstruktioner, inklusive simulering av pek- och svephändelser. Insamlad personlig information skickas till en Telegram-bot, som extraherar användbar data som erhållits genom de falska inloggningssidorna som utger sig för att vara målbanker. Denna information formateras sedan och delas i en chatt tillgänglig för brottslingar.
Detaljerna varierar beroende på vilken falsk inloggningssida som används och inkluderar enhetsinformation som modell och telefonnummer, CPF-nummer, lösenord eller kontonummer.
Hotaktörer utnyttjar liknande infektionsvektorer
Rocinante Banking Trojan-utvecklingen sammanfaller med att cybersäkerhetsforskare avslöjar en ny banktrojansk skadlig kampanj som riktar sig till spanska och portugisisktalande regioner genom att utnyttja domänen secureserver.net.
Flerfasattacken börjar med hotfulla webbadresser som leder användarna till ett arkiv som innehåller en obfuskerad .hta-fil. Den här filen utlöser en JavaScript-nyttolast som utför olika AntiVM- och AntiAV-kontroller innan den slutliga AutoIT-nyttolasten laddas ned. AutoIT-nyttolasten exekveras sedan genom processinjektion, som syftar till att samla bankinformation och referenser från offrets system och exfiltrera data till en Command-and-Control-server (C2).
