Rocinante మొబైల్ మాల్వేర్

కొత్త మాల్వేర్ ప్రచారం బ్రెజిల్‌లోని మొబైల్ వినియోగదారులను లక్ష్యంగా చేసుకుంది, రోసినాంటే అనే ఆండ్రాయిడ్ బ్యాంకింగ్ ట్రోజన్‌ను అమలు చేస్తుంది. ఈ మాల్వేర్ యాక్సెసిబిలిటీ సర్వీస్‌ను ఉపయోగించడం ద్వారా కీస్ట్రోక్‌లను లాగ్ చేయగలదు మరియు వివిధ బ్యాంకులను అనుకరించే ఫిషింగ్ స్క్రీన్‌ల ద్వారా బాధితుల నుండి వ్యక్తిగత గుర్తింపు సమాచారాన్ని (PII) పొందవచ్చు. అదనంగా, ఇది పరికరాన్ని స్వాధీనం చేసుకోవడానికి దొంగిలించబడిన డేటాను ఉపయోగిస్తుంది, సోకిన పరికరానికి పూర్తి రిమోట్ యాక్సెస్‌ను పొందేందుకు ప్రాప్యత సేవా అధికారాలను ఉపయోగిస్తుంది.

చట్టబద్ధమైన అప్లికేషన్లుగా మాస్క్వెరేడింగ్

బ్రాడెస్కో ప్రైమ్ మరియు కొరియోస్ సెల్యులార్ వంటి నకిలీ అప్లికేషన్లతో ఇటాయు షాప్ మరియు శాంటాండర్‌తో సహా అనేక ప్రముఖ ఆర్థిక సంస్థలను మాల్వేర్ లక్ష్యంగా చేసుకుంటోంది:

• లైవ్‌లో పాంటోస్ (com.resgatelivelo.cash)
• కొరియోస్ రెకార్గా (com.correiosrecarga.android)
• బ్రాటెస్కో ప్రిన్ (com.resgatelivelo.cash)
• మాడ్యులో డి సెగురాన్కా (com.viberotion1414.app)

మాల్వేర్ యొక్క సోర్స్ కోడ్ యొక్క విశ్లేషణ, ఆపరేటర్లు అంతర్గతంగా రోసినాంటేని పెగాసస్ లేదా పెగాసస్‌స్పై అని సూచిస్తున్నట్లు వెల్లడైంది. అయితే, ఈ పెగాసస్‌కు వాణిజ్య నిఘా విక్రయదారు NSO గ్రూప్ అభివృద్ధి చేసిన క్రాస్-ప్లాట్‌ఫారమ్ స్పైవేర్‌కు ఎలాంటి సంబంధం లేదని స్పష్టం చేయడం అవసరం.

ఇతర మాల్వేర్ కుటుంబాలకు కనెక్షన్లు

సైలెంట్ పుష్ యొక్క ఇటీవలి విశ్లేషణ ప్రకారం, పెగాసస్ డ్యూక్ యూజీన్ అని పిలువబడే ముప్పు నటుడికి ఆపాదించబడింది, అతను ERMAC , BlackRock , Hook మరియు Loot వంటి మాల్వేర్ జాతులను కూడా అభివృద్ధి చేశాడు.

రోసినాంటే ERMAC యొక్క మునుపటి సంస్కరణలచే ప్రభావితమైన అంశాలను కలిగి ఉందని పరిశోధకులు కనుగొన్నారు. ERMAC యొక్క సోర్స్ కోడ్ యొక్క 2023 లీక్ ఈ అభివృద్ధికి దోహదపడి ఉండవచ్చు. అసలు మాల్‌వేర్ కుటుంబం లీక్ అయిన కోడ్‌లోని భాగాలను తమ సొంతంలోకి చేర్చుకున్నట్లు కనిపించిన మొదటి ఉదాహరణ ఇది. Rocinante మరియు ERMAC ఒకే ప్రారంభ ప్రాజెక్ట్ యొక్క ప్రత్యేక శాఖలను సూచించే అవకాశం కూడా ఉంది.

రోసినాంటే బ్యాంకింగ్ ట్రోజన్ సెన్సిటివ్ డేటాను లక్ష్యంగా చేసుకుంటుంది

Rocinante ప్రాథమికంగా నకిలీ డ్రాపర్ అప్లికేషన్‌లను ఇన్‌స్టాల్ చేయడంలో వినియోగదారులను మోసగించడానికి రూపొందించబడిన ఫిషింగ్ వెబ్‌సైట్‌ల ద్వారా వ్యాప్తి చెందుతుంది. ఇన్‌స్టాల్ చేసిన తర్వాత, ఈ అప్లికేషన్‌లు సోకిన పరికరంలోని అన్ని కార్యకలాపాలను పర్యవేక్షించడానికి, SMS సందేశాలను అడ్డగించడానికి మరియు ఫిషింగ్ లాగిన్ పేజీలను ప్రదర్శించడానికి ప్రాప్యత సేవా అధికారాలను అభ్యర్థిస్తాయి.

టచ్ మరియు స్వైప్ ఈవెంట్‌లను అనుకరించడంతో సహా రిమోట్ సూచనలను స్వీకరించడానికి మాల్వేర్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు కూడా కనెక్ట్ అవుతుంది. సేకరించిన వ్యక్తిగత సమాచారం టెలిగ్రామ్ బాట్‌కు పంపబడుతుంది, ఇది టార్గెట్ బ్యాంకుల వలె నకిలీ లాగిన్ పేజీల ద్వారా పొందిన ఉపయోగకరమైన డేటాను సంగ్రహిస్తుంది. ఈ సమాచారం నేరస్థులకు అందుబాటులో ఉండే చాట్‌లో ఫార్మాట్ చేయబడుతుంది మరియు భాగస్వామ్యం చేయబడుతుంది.

ఉపయోగించిన నకిలీ లాగిన్ పేజీని బట్టి వివరాలు మారుతూ ఉంటాయి మరియు మోడల్ మరియు ఫోన్ నంబర్, CPF నంబర్, పాస్‌వర్డ్ లేదా ఖాతా నంబర్ వంటి పరికర సమాచారాన్ని కలిగి ఉంటాయి.

థ్రెట్ యాక్టర్స్ ఇలాంటి ఇన్ఫెక్షన్ వెక్టర్స్‌ను ఉపయోగించుకుంటాయి

Rocinante బ్యాంకింగ్ ట్రోజన్ డెవలప్‌మెంట్ సైబర్‌సెక్యూరిటీ పరిశోధకులు కొత్త బ్యాంకింగ్ ట్రోజన్ మాల్వేర్ క్యాంపెయిన్‌ను ఆవిష్కరించడంతో సమానంగా ఉంటుంది, ఇది safeserver.net డొమైన్‌ను ఉపయోగించడం ద్వారా స్పానిష్ మరియు పోర్చుగీస్ మాట్లాడే ప్రాంతాలను లక్ష్యంగా చేసుకుంటుంది.

బహుళ-దశల దాడి బెదిరింపు URLలతో ప్రారంభమవుతుంది, ఇది వినియోగదారులను అస్పష్టమైన .hta ఫైల్‌ను కలిగి ఉన్న ఆర్కైవ్‌కు మళ్లిస్తుంది. ఈ ఫైల్ చివరి AutoIT పేలోడ్‌ని డౌన్‌లోడ్ చేయడానికి ముందు వివిధ AntiVM మరియు AntiAV తనిఖీలను నిర్వహించే JavaScript పేలోడ్‌ను ట్రిగ్గర్ చేస్తుంది. బాధితుడి సిస్టమ్ నుండి బ్యాంకింగ్ సమాచారం మరియు ఆధారాలను సేకరించడం మరియు కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు డేటాను వెలికితీసే లక్ష్యంతో AutoIT పేలోడ్ ప్రక్రియ ఇంజెక్షన్ ద్వారా అమలు చేయబడుతుంది.