Rocinante 行動惡意軟體
一種新的惡意軟體活動針對巴西的行動用戶,部署了名為 Rocinante 的 Android 銀行木馬。該惡意軟體可以透過利用輔助服務來記錄擊鍵,並透過模仿各種銀行的網路釣魚螢幕從受害者那裡獲取個人識別資訊(PII)。此外,它還使用竊取的資料接管設備,利用輔助服務權限來獲得對受感染設備的完全遠端存取。
目錄
偽裝成合法應用程式
該惡意軟體針對包括 Itaú Shop 和 Santander 在內的多家知名金融機構,使用冒充 Bradesco Prime 和 Correios Celular 等的虛假應用程式:
- 利夫洛蓬托斯 (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- 普林 (com.resgatelivelo.cash)
- 安全模組 (com.viberotion1414.app)
對惡意軟體原始碼的分析表明,運營商在內部將 Rocinante 稱為 Pegasus 或 PegasusSpy。不過,有必要澄清的是,這款 Pegasus 與商業監控供應商 NSO Group 開發的跨平台間諜軟體沒有任何關係。
與其他惡意軟體系列的連接
根據 Silent Push 最近的分析,Pegasus 被認為是一個名為 DukeEugene 的威脅發起者,他也開發了類似的惡意軟體菌株,例如ERMAC 、 BlackRock 、Hook 和 Loot。
研究人員發現 Rocinante 包含受早期版本 ERMAC 影響的元素。 2023 年 ERMAC 原始碼的洩漏可能促成了這一發展。這是原始惡意軟體家族首次將部分洩漏的程式碼合併到自己的程式碼中。 Rocinante 和 ERMAC 也有可能代表同一初始專案的不同分支。
Rocinante 銀行木馬以敏感資料為目標
Rocinante 主要透過網路釣魚網站傳播,旨在欺騙用戶安裝假滴管應用程式。安裝後,這些應用程式會要求輔助服務權限,以監視受感染設備上的所有活動、攔截簡訊並顯示網路釣魚登入頁面。
該惡意軟體還連接到命令與控制(C2)伺服器以接收遠端指令,包括模擬觸控和滑動事件。收集到的個人資訊被發送到 Telegram 機器人,該機器人提取透過冒充目標銀行的虛假登錄頁面獲得的有用數據。然後,這些資訊會被格式化並在犯罪分子可以存取的聊天中共享。
詳細資訊因所使用的虛假登入頁面而異,包括設備信息,例如型號和電話號碼、CPF 號碼、密碼或帳號。
威脅行為者利用類似的感染媒介
Rocinante 銀行木馬的開發恰逢網路安全研究人員發現了一種新的銀行木馬惡意軟體活動,該活動透過利用 secureserver.net 網域來針對西班牙語和葡萄牙語地區。
多階段攻擊從威脅性 URL 開始,將使用者引導至包含模糊 .hta 檔案的檔案。該檔案會觸發一個 JavaScript 有效負載,該負載會在下載最終的 AutoIT 有效負載之前執行各種 AntiVM 和 AntiAV 檢查。然後,透過進程注入執行 AutoIT 有效負載,旨在從受害者的系統中獲取銀行資訊和憑證,並將資料外洩到命令與控制 (C2) 伺服器。
