Phần mềm độc hại Rocinante Mobile
Một chiến dịch phần mềm độc hại mới nhắm vào người dùng di động tại Brazil, triển khai Trojan ngân hàng Android có tên là Rocinante. Phần mềm độc hại này có thể ghi lại các lần nhấn phím bằng cách khai thác Dịch vụ trợ năng và thu thập Thông tin nhận dạng cá nhân (PII) từ nạn nhân thông qua màn hình lừa đảo bắt chước nhiều ngân hàng khác nhau. Ngoài ra, nó sử dụng dữ liệu bị đánh cắp để chiếm quyền điều khiển thiết bị, sử dụng các đặc quyền của dịch vụ trợ năng để có được quyền truy cập từ xa đầy đủ vào thiết bị bị nhiễm.
Mục lục
Ngụy trang như các ứng dụng hợp pháp
Phần mềm độc hại này đang nhắm mục tiêu vào một số tổ chức tài chính lớn, bao gồm Itaú Shop và Santander, với các ứng dụng giả mạo là Bradesco Prime và Correios Celular, cùng nhiều ứng dụng khác:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Modulo de Segurança (com.viberotion1414.app)
Phân tích mã nguồn của phần mềm độc hại cho thấy những người điều hành gọi Rocinante là Pegasus hoặc PegasusSpy. Tuy nhiên, cần phải làm rõ rằng Pegasus này không liên quan đến phần mềm gián điệp đa nền tảng do nhà cung cấp giám sát thương mại NSO Group phát triển.
Kết nối với các nhóm phần mềm độc hại khác
Theo phân tích gần đây của Silent Push, Pegasus được cho là do một tác nhân đe dọa có tên là DukeEugene tạo ra, kẻ này cũng đã phát triển các dòng phần mềm độc hại tương tự như ERMAC , BlackRock , Hook và Loot.
Các nhà nghiên cứu đã phát hiện ra rằng Rocinante bao gồm các thành phần chịu ảnh hưởng từ các phiên bản trước của ERMAC. Vụ rò rỉ mã nguồn ERMAC năm 2023 có thể đã góp phần vào sự phát triển này. Đây là trường hợp đầu tiên mà một họ phần mềm độc hại gốc dường như đã kết hợp các phần của mã bị rò rỉ vào mã của riêng họ. Cũng có khả năng Rocinante và ERMAC đại diện cho các nhánh riêng biệt của cùng một dự án ban đầu.
Trojan ngân hàng Rocinante nhắm vào dữ liệu nhạy cảm
Rocinante chủ yếu lây lan qua các trang web lừa đảo được thiết kế để lừa người dùng cài đặt các ứng dụng dropper giả mạo. Sau khi cài đặt, các ứng dụng này yêu cầu quyền dịch vụ trợ năng để theo dõi mọi hoạt động trên thiết bị bị nhiễm, chặn tin nhắn SMS và hiển thị các trang đăng nhập lừa đảo.
Phần mềm độc hại này cũng kết nối với máy chủ Command-and-Control (C2) để nhận hướng dẫn từ xa, bao gồm mô phỏng các sự kiện chạm và vuốt. Thông tin cá nhân thu thập được sẽ được gửi đến bot Telegram, bot này sẽ trích xuất dữ liệu hữu ích thu được thông qua các trang đăng nhập giả mạo mạo danh các ngân hàng mục tiêu. Sau đó, thông tin này được định dạng và chia sẻ trong một cuộc trò chuyện mà tội phạm có thể truy cập.
Các chi tiết khác nhau tùy thuộc vào trang đăng nhập giả mạo được sử dụng và bao gồm thông tin thiết bị như kiểu máy và số điện thoại, số CPF, mật khẩu hoặc số tài khoản.
Các tác nhân đe dọa khai thác các vectơ lây nhiễm tương tự
Sự phát triển của Trojan ngân hàng Rocinante trùng hợp với thời điểm các nhà nghiên cứu an ninh mạng phát hiện ra một chiến dịch phần mềm độc hại Trojan ngân hàng mới nhắm vào các khu vực nói tiếng Tây Ban Nha và Bồ Đào Nha bằng cách khai thác tên miền secureserver.net.
Cuộc tấn công nhiều giai đoạn bắt đầu bằng các URL đe dọa hướng người dùng đến một kho lưu trữ chứa tệp .hta bị che giấu. Tệp này kích hoạt một tải trọng JavaScript thực hiện nhiều lần kiểm tra AntiVM và AntiAV trước khi tải xuống tải trọng AutoIT cuối cùng. Sau đó, tải trọng AutoIT được thực thi thông qua quá trình tiêm, nhằm mục đích thu thập thông tin ngân hàng và thông tin xác thực từ hệ thống của nạn nhân và trích xuất dữ liệu đến máy chủ Command-and-Control (C2).
