Шкідливе програмне забезпечення для мобільних пристроїв Rocinante
Нова кампанія зловмисного програмного забезпечення націлена на мобільних користувачів у Бразилії, розгортаючи банківський троян Android під назвою Rocinante. Це зловмисне програмне забезпечення може реєструвати натискання клавіш, використовуючи службу доступності та збирати особисту ідентифікаційну інформацію (PII) від жертв через фішингові екрани, які імітують різні банки. Крім того, він використовує вкрадені дані, щоб заволодіти пристроєм, використовуючи привілеї служби доступності для отримання повного віддаленого доступу до зараженого пристрою.
Зміст
Маскування під законні програми
Зловмисне програмне забезпечення націлено на кілька відомих фінансових установ, включаючи Itaú Shop і Santander, з підробленими програмами, які видають себе за Bradesco Prime і Correios Celular, серед інших:
- Лівело Понтос (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Gurança (com.viberotion1414.app)
Аналіз вихідного коду зловмисного програмного забезпечення показує, що оператори внутрішньо називають Rocinante як Pegasus або PegasusSpy. Однак необхідно уточнити, що цей Pegasus не має зв’язку з кросплатформним шпигунським програмним забезпеченням, розробленим комерційним постачальником систем спостереження NSO Group.
Зв’язки з іншими сімействами шкідливих програм
Відповідно до нещодавнього аналізу Silent Push, Pegasus приписують загрозливому актору, відомому як DukeEugene, який також розробив подібні штами зловмисного програмного забезпечення, такі як ERMAC , BlackRock , Hook and Loot.
Дослідники виявили, що Rocinante містить елементи, на які вплинули попередні версії ERMAC. Витік вихідного коду ERMAC у 2023 році міг сприяти цьому розвитку подій. Це перший випадок, коли оригінальне сімейство шкідливих програм, схоже, включило частини витоку коду у свій власний. Також можливо, що Rocinante і ERMAC представляють окремі гілки одного початкового проекту.
Банківський троян Rocinante націлений на конфіденційні дані
Rocinante в основному поширюється через фішингові веб-сайти, призначені для того, щоб ввести користувачів в оману з метою встановлення підроблених програм-дроперів. Після встановлення ці програми запитують привілеї служби доступності для моніторингу всіх дій на зараженому пристрої, перехоплення SMS-повідомлень і відображення фішингових сторінок входу.
Зловмисне програмне забезпечення також з’єднується з сервером командування та керування (C2), щоб отримувати віддалені інструкції, включаючи симуляцію дотиків і пальців. Зібрана особиста інформація надсилається до бота Telegram, який витягує корисні дані, отримані через підроблені сторінки входу, які видають себе за цільові банки. Потім ця інформація форматується та публікується в чаті, доступному для злочинців.
Деталі відрізняються залежно від використовуваної підробленої сторінки входу та включають інформацію про пристрій, таку як модель і номер телефону, номер CPF, пароль або номер облікового запису.
Зловмисники використовують подібні вектори інфекції
Розробка банківського трояна Rocinante збігається з відкриттям дослідниками кібербезпеки нової кампанії зловмисного програмного забезпечення банківського трояна, яка націлена на іспаномовні та португаломовні регіони, використовуючи домен secureserver.net.
Багатофазова атака починається із загрозливих URL-адрес, які спрямовують користувачів до архіву, що містить заплутаний файл .hta. Цей файл запускає корисне навантаження JavaScript, яке проводить різні перевірки AntiVM і AntiAV перед завантаженням остаточного корисного навантаження AutoIT. Корисне навантаження AutoIT потім виконується шляхом ін’єкції процесу, спрямованого на отримання банківської інформації та облікових даних із системи жертви та передачу даних на сервер командування та управління (C2).
