Rocinante Mobil Kötü Amaçlı Yazılım
Yeni bir kötü amaçlı yazılım kampanyası, Brezilya'daki mobil kullanıcıları hedef alıyor ve Rocinante adlı bir Android bankacılık Truva Atı kullanıyor. Bu kötü amaçlı yazılım, Erişilebilirlik Hizmetini istismar ederek tuş vuruşlarını kaydedebilir ve çeşitli bankaları taklit eden kimlik avı ekranları aracılığıyla kurbanlardan Kişisel Tanımlayıcı Bilgiler (PII) toplayabilir. Ayrıca, çalınan verileri cihazı ele geçirmek için kullanır ve enfekte cihaza tam uzaktan erişim elde etmek için erişilebilirlik hizmeti ayrıcalıklarından yararlanır.
İçindekiler
Meşru Uygulamalar Gibi Görünme
Kötü amaçlı yazılım, aralarında Itaú Shop ve Santander'in de bulunduğu birçok önemli finans kuruluşunu hedef alıyor ve Bradesco Prime ve Correios Celular gibi görünen sahte uygulamalar kullanıyor:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Güvenlik Modülü (com.viberotion1414.app)
Kötü amaçlı yazılımın kaynak kodunun analizi, operatörlerin Rocinante'den dahili olarak Pegasus veya PegasusSpy olarak bahsettiğini ortaya koyuyor. Ancak, bu Pegasus'un ticari gözetim satıcısı NSO Group tarafından geliştirilen çapraz platform casus yazılımıyla hiçbir bağlantısı olmadığını açıklığa kavuşturmak gerekiyor.
Diğer Kötü Amaçlı Yazılım Aileleriyle Bağlantılar
Silent Push'ın yakın zamanda yaptığı bir analize göre Pegasus, ERMAC , BlackRock , Hook and Loot gibi benzer kötü amaçlı yazılım türlerini de geliştiren DukeEugene adlı bir tehdit aktörüne ait.
Araştırmacılar, Rocinante'nin ERMAC'ın önceki sürümlerinden etkilenen öğeler içerdiğini keşfettiler. ERMAC'ın kaynak kodunun 2023'te sızdırılması bu gelişmeye katkıda bulunmuş olabilir. Bu, orijinal bir kötü amaçlı yazılım ailesinin sızdırılan kodun parçalarını kendi kodlarına dahil ettiği ilk örnektir. Rocinante ve ERMAC'ın aynı ilk projenin ayrı dallarını temsil etmesi de mümkündür.
Rocinante Bankacılık Truva Atı Hassas Verileri Hedef Alıyor
Rocinante, öncelikle kullanıcıları sahte dropper uygulamaları yüklemeye kandırmak için tasarlanmış kimlik avı web siteleri aracılığıyla yayılır. Bu uygulamalar yüklendikten sonra, enfekte cihazdaki tüm aktiviteleri izlemek, SMS mesajlarını engellemek ve kimlik avı oturum açma sayfalarını görüntülemek için erişilebilirlik hizmeti ayrıcalıkları ister.
Kötü amaçlı yazılım ayrıca, dokunma ve kaydırma olaylarını simüle etmek de dahil olmak üzere uzaktan talimatlar almak için bir Komuta ve Kontrol (C2) sunucusuna bağlanır. Toplanan kişisel bilgiler, hedef bankaları taklit eden sahte oturum açma sayfaları aracılığıyla elde edilen yararlı verileri çıkaran bir Telegram botuna gönderilir. Bu bilgiler daha sonra biçimlendirilir ve suçluların erişebildiği bir sohbette paylaşılır.
Ayrıntılar, kullanılan sahte giriş sayfasına bağlı olarak değişiyor ve model ve telefon numarası, CPF numarası, şifre veya hesap numarası gibi cihaz bilgilerini içeriyor.
Tehdit Aktörleri Benzer Enfeksiyon Vektörlerini Kullanıyor
Rocinante Bankacılık Truva Atı'nın geliştirilmesi, siber güvenlik araştırmacılarının secureserver.net alan adını kullanarak İspanyolca ve Portekizce konuşulan bölgeleri hedef alan yeni bir bankacılık Truva Atı kötü amaçlı yazılım kampanyasını ortaya çıkarmasıyla aynı zamana denk geliyor.
Çok aşamalı saldırı, kullanıcıları gizlenmiş bir .hta dosyası içeren bir arşive yönlendiren tehdit edici URL'lerle başlar. Bu dosya, son AutoIT yükünü indirmeden önce çeşitli AntiVM ve AntiAV kontrolleri gerçekleştiren bir JavaScript yükünü tetikler. AutoIT yükü daha sonra, kurbanın sisteminden bankacılık bilgilerini ve kimlik bilgilerini toplamayı ve verileri bir Komuta ve Kontrol (C2) sunucusuna sızdırmayı amaçlayan işlem enjeksiyonu yoluyla yürütülür.
