Rocinante 移动恶意软件

一项新的恶意软件活动针对巴西的移动用户，部署了名为 Rocinante 的 Android 银行木马。该恶意软件可以利用无障碍服务记录击键，并通过模仿各家银行的网络钓鱼屏幕从受害者那里获取个人身份信息 (PII)。此外，它还利用窃取的数据接管设备，利用无障碍服务权限获得对受感染设备的完全远程访问权限。

伪装成合法应用程序

该恶意软件针对的是几家知名金融机构，包括 Itaú Shop 和 Santander 银行，其虚假应用程序冒充 Bradesco Prime 和 Correios Celular 等：

• 利夫洛蓬托斯 (com.resgatelivelo.cash)
• Correios Recarga (com.correiosrecarga.android)
• 布拉特斯科·普林 (com.resgatelivelo.cash)
• 安全模块 (com.viberotion1414.app)

通过分析该恶意软件的源代码，我们发现运营者在内部将 Rocinante 称为 Pegasus 或 PegasusSpy。不过，需要澄清的是，这个 Pegasus 与商业监控供应商 NSO Group 开发的跨平台间谍软件没有任何关系。

与其他恶意软件家族的联系

根据 Silent Push 最近的分析，Pegasus 归因于一个名为 DukeEugene 的威胁行为者，该行为者还开发了类似的恶意软件，例如ERMAC 、 BlackRock 、Hook 和 Loot。

研究人员发现，Rocinante 包含受 ERMAC 早期版本影响的元素。2023 年 ERMAC 源代码的泄露可能促成了这一发展。这是原始恶意软件家族首次将泄露代码的部分内容合并到自己的代码中。Rocinante 和 ERMAC 也可能代表同一初始项目的不同分支。

Rocinante 银行木马病毒攻击敏感数据

Rocinante 主要通过钓鱼网站传播，旨在诱骗用户安装假冒的植入式应用程序。安装后，这些应用程序会请求无障碍服务权限来监控受感染设备上的所有活动、拦截短信并显示钓鱼登录页面。

该恶意软件还连接到命令和控制 (C2) 服务器以接收远程指令，包括模拟触摸和滑动事件。收集的个人信息被发送到 Telegram 机器人，该机器人提取通过冒充目标银行的虚假登录页面获得的有用数据。然后，这些信息被格式化并在犯罪分子可以访问的聊天中共享。

详细信息取决于所使用的虚假登录页面，包括设备型号和电话号码、CPF 号码、密码或帐号等设备信息。

威胁行为者利用类似的感染媒介

Rocinante 银行木马的开发恰逢网络安全研究人员发现一种新的银行木马恶意软件活动，该活动通过利用 secureserver.net 域名针对西班牙语和葡萄牙语地区。

该多阶段攻击始于威胁性 URL，这些 URL 将用户引导至包含模糊 .hta 文件的存档。此文件会触发 JavaScript 负载，在下载最终的 AutoIT 负载之前，该负载会执行各种 AntiVM 和 AntiAV 检查。然后，AutoIT 负载通过进程注入执行，旨在从受害者的系统中收集银行信息和凭据，并将数据泄露到命令和控制 (C2) 服务器。