มัลแวร์มือถือ Rocinante
แคมเปญมัลแวร์ใหม่กำหนดเป้าหมายผู้ใช้มือถือในบราซิล โดยใช้โทรจันสำหรับธนาคารบนระบบปฏิบัติการแอนดรอยด์ที่มีชื่อว่า Rocinante มัลแวร์นี้สามารถบันทึกการกดแป้นพิมพ์โดยใช้ประโยชน์จาก Accessibility Service และรวบรวมข้อมูลประจำตัว (PII) จากเหยื่อผ่านหน้าจอฟิชชิ่งที่เลียนแบบธนาคารต่างๆ นอกจากนี้ มัลแวร์ยังใช้ข้อมูลที่ขโมยมาเพื่อเข้าควบคุมอุปกรณ์ โดยใช้สิทธิ์ของ Accessibility Service เพื่อเข้าถึงอุปกรณ์ที่ติดไวรัสจากระยะไกลได้ทั้งหมด
สารบัญ
การปลอมตัวเป็นแอพพลิเคชันที่ถูกกฎหมาย
มัลแวร์กำลังกำหนดเป้าหมายสถาบันการเงินชั้นนำหลายแห่ง รวมถึง Itaú Shop และ Santander โดยมีแอปพลิเคชันปลอมที่แอบอ้างว่าเป็น Bradesco Prime และ Correios Celular เป็นต้น:
- ลิเวโล ปอนโตส (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- บราเตสโก พรีน (com.resgatelivelo.cash)
- โมดูลเดอเซกูรันซา (com.viberotion1414.app)
จากการวิเคราะห์ซอร์สโค้ดของมัลแวร์พบว่าผู้ปฏิบัติการภายในเรียก Rocinante ว่า Pegasus หรือ PegasusSpy อย่างไรก็ตาม จำเป็นต้องชี้แจงให้ชัดเจนว่า Pegasus นี้ไม่มีส่วนเกี่ยวข้องกับสปายแวร์ข้ามแพลตฟอร์มที่พัฒนาโดย NSO Group ซึ่งเป็นผู้จำหน่ายซอฟต์แวร์เฝ้าระวังทางการค้า
การเชื่อมต่อกับกลุ่มมัลแวร์อื่น ๆ
Pegasus เป็นผลมาจากผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ DukeEugene ซึ่งพัฒนามัลแวร์สายพันธุ์คล้ายๆ กัน เช่น ERMAC , BlackRock , Hook และ Loot ตามการวิเคราะห์ล่าสุดของ Silent Push
นักวิจัยได้ค้นพบว่า Rocinante มีองค์ประกอบที่ได้รับอิทธิพลจาก ERMAC เวอร์ชันก่อนหน้า การรั่วไหลของรหัสต้นฉบับของ ERMAC ในปี 2023 อาจมีส่วนสนับสนุนการพัฒนาครั้งนี้ นี่เป็นครั้งแรกที่กลุ่มมัลแวร์ดั้งเดิมดูเหมือนจะรวมส่วนต่างๆ ของรหัสที่รั่วไหลเข้าไปในกลุ่มของตัวเอง นอกจากนี้ ยังเป็นไปได้ที่ Rocinante และ ERMAC จะเป็นสาขาแยกกันของโครงการเริ่มต้นเดียวกัน
มัลแวร์ Rocinante Banking โจมตีข้อมูลที่ละเอียดอ่อน
Rocinante แพร่กระจายผ่านเว็บไซต์ฟิชชิ่งที่ออกแบบมาเพื่อหลอกล่อผู้ใช้ให้ติดตั้งแอปพลิเคชันดรอปเปอร์ปลอม เมื่อติดตั้งแล้ว แอปพลิเคชันเหล่านี้จะขอสิทธิ์การเข้าถึงเพื่อตรวจสอบกิจกรรมทั้งหมดบนอุปกรณ์ที่ติดไวรัส สกัดกั้นข้อความ SMS และแสดงหน้าล็อกอินฟิชชิ่ง
นอกจากนี้ มัลแวร์ยังเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อรับคำสั่งจากระยะไกล รวมถึงการจำลองเหตุการณ์การสัมผัสและการปัด ข้อมูลส่วนตัวที่รวบรวมได้จะถูกส่งไปยังบ็อต Telegram ซึ่งจะดึงข้อมูลที่เป็นประโยชน์ซึ่งได้รับจากหน้าล็อกอินปลอมที่แอบอ้างเป็นธนาคารเป้าหมาย จากนั้นข้อมูลนี้จะถูกจัดรูปแบบและแบ่งปันในแชทที่ผู้ก่ออาชญากรรมสามารถเข้าถึงได้
รายละเอียดอาจแตกต่างกันไป ขึ้นอยู่กับหน้าเข้าสู่ระบบปลอมที่ใช้ และรวมถึงข้อมูลอุปกรณ์ เช่น รุ่นและหมายเลขโทรศัพท์ หมายเลข CPF รหัสผ่าน หรือหมายเลขบัญชี
ผู้ก่อภัยคุกคามใช้ประโยชน์จากเวกเตอร์การติดเชื้อที่คล้ายคลึงกัน
การพัฒนา Rocinante Banking Trojan เกิดขึ้นพร้อมกับที่นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญมัลแวร์ Banking Trojan ใหม่ ซึ่งกำหนดเป้าหมายไปที่ภูมิภาคที่ใช้ภาษาสเปนและโปรตุเกสโดยใช้ประโยชน์จากโดเมน secureserver.net
การโจมตีแบบหลายขั้นตอนเริ่มต้นด้วยการคุกคาม URL ที่นำผู้ใช้ไปยังไฟล์เก็บถาวรที่มีไฟล์ .hta ที่ถูกบดบัง ไฟล์นี้จะทริกเกอร์เพย์โหลด JavaScript ที่ทำการตรวจสอบ AntiVM และ AntiAV ต่างๆ ก่อนที่จะดาวน์โหลดเพย์โหลด AutoIT สุดท้าย จากนั้นเพย์โหลด AutoIT จะถูกดำเนินการผ่านการฉีดกระบวนการ โดยมีจุดมุ่งหมายเพื่อรวบรวมข้อมูลธนาคารและข้อมูลประจำตัวจากระบบของเหยื่อและถ่ายโอนข้อมูลไปยังเซิร์ฟเวอร์ Command-and-Control (C2)
