Rocinante Mobile Malware

Ang isang bagong malware campaign ay nagta-target ng mga mobile user sa Brazil, na nagde-deploy ng Android banking Trojan na tinatawag na Rocinante. Ang malware na ito ay maaaring mag-log ng mga keystroke sa pamamagitan ng pagsasamantala sa Serbisyo ng Accessibility at pag-ani ng Personal Identifiable Information (PII) mula sa mga biktima sa pamamagitan ng mga phishing screen na gumagaya sa iba't ibang mga bangko. Bukod pa rito, ginagamit nito ang ninakaw na data upang sakupin ang device, na ginagamit ang mga pribilehiyo ng serbisyo sa pagiging naa-access upang makakuha ng ganap na malayuang pag-access sa nahawaang device.

Nagbabalatkayo bilang mga Lehitimong Aplikasyon

Tina-target ng malware ang ilang kilalang institusyong pinansyal, kabilang ang Itaú Shop at Santander, na may mga pekeng application na nagpapanggap bilang Bradesco Prime at Correios Celular, bukod sa iba pa:

• Livelo Pontos (com.resgatelivelo.cash)
• Correios Recarga (com.correiosrecarga.android)
• Bratesco Prine (com.resgatelivelo.cash)
• Módulo de Segurança (com.viberotion1414.app)

Ang pagsusuri sa source code ng malware ay nagpapakita na ang mga operator ay panloob na tinutukoy si Rocinante bilang Pegasus o PegasusSpy. Gayunpaman, kailangang linawin na ang Pegasus na ito ay walang koneksyon sa cross-platform spyware na binuo ng commercial surveillance vendor na NSO Group.

Mga Koneksyon sa Iba Pang Mga Pamilya ng Malware

Ang Pegasus ay iniuugnay sa isang banta na aktor na kilala bilang DukeEugene, na nakabuo din ng mga katulad na strain ng malware gaya ng ERMAC , BlackRock , Hook at Loot, ayon sa kamakailang pagsusuri ng Silent Push.

Natuklasan ng mga mananaliksik na kasama sa Rocinante ang mga elementong naiimpluwensyahan ng mga naunang bersyon ng ERMAC. Ang 2023 leak ng source code ng ERmac ay maaaring nag-ambag sa pag-unlad na ito. Ito ang unang pagkakataon kung saan ang isang orihinal na pamilya ng malware ay lumilitaw na nagsama ng mga bahagi ng leaked code sa kanilang sarili. Posible rin na ang Rocinante at ERMAC ay kumakatawan sa magkahiwalay na sangay ng parehong paunang proyekto.

Tinatarget ng Rocinante Banking Trojan ang Sensitibong Data

Pangunahing kumakalat ang Rocinante sa pamamagitan ng mga website ng phishing na idinisenyo upang linlangin ang mga user sa pag-install ng mga pekeng dropper application. Kapag na-install na, humihiling ang mga application na ito ng mga pribilehiyo ng serbisyo sa pagiging naa-access upang subaybayan ang lahat ng aktibidad sa nahawaang device, maharang ang mga mensaheng SMS, at magpakita ng mga pahina ng pag-login sa phishing.

Kumokonekta rin ang malware sa isang Command-and-Control (C2) server upang makatanggap ng malayuang mga tagubilin, kabilang ang pagtulad sa mga kaganapan sa pagpindot at pag-swipe. Ang nakolektang personal na impormasyon ay ipinapadala sa isang Telegram bot, na kumukuha ng kapaki-pakinabang na data na nakuha sa pamamagitan ng mga pekeng pahina sa pag-log in na nagpapanggap bilang mga target na bangko. Ang impormasyong ito ay na-format at ibinabahagi sa isang chat na maa-access ng mga kriminal.

Ang mga detalye ay nag-iiba depende sa pekeng login page na ginamit at kasama ang impormasyon ng device gaya ng modelo at numero ng telepono, CPF number, password o account number.

Pinagsasamantalahan ng mga Threat Actor ang Katulad na Infection Vectors

Ang pag-unlad ng Rocinante Banking Trojan ay kasabay ng pagtuklas ng mga mananaliksik sa cybersecurity ng bagong banking Trojan malware campaign na nagta-target sa mga rehiyong nagsasalita ng Spanish at Portuguese sa pamamagitan ng pagsasamantala sa secureserver.net na domain.

Nagsisimula ang multi-phase attack sa mga nagbabantang URL na nagdidirekta sa mga user sa isang archive na naglalaman ng na-obfuscate na .hta file. Ang file na ito ay nagti-trigger ng JavaScript payload na nagsasagawa ng iba't ibang AntiVM at AntiAV checks bago i-download ang panghuling AutoIT payload. Ang AutoIT payload ay isasagawa sa pamamagitan ng process injection, na naglalayong kunin ang impormasyon sa pagbabangko at mga kredensyal mula sa system ng biktima at i-exfiltrate ang data sa isang Command-and-Control (C2) server.