Stalno evoluirajući krajolik malicioznog softvera razvija se alarmantnom brzinom, jer je već primjećeno mnoštvo novih sojeva.
Hakeri postaju sve inovativniji i sofisticiraniji u svom načinu napada, posebno tražeći uređaje Interneta stvari i iskorištavajući nedostatke popularnih aplikacija.
Kao rezultat toga, okruženje mobilnog maliciozni softvera je također brzo evoluiralo, a najzabrinjavajuća nova vrsta za Brazil je “Rocinante”, kako su izvijestili istraživači kibernetičke sigurnosti u ThreatFabric-u.
Osim toga, ovaj maliciozni softver koristi keylogging putem Android Accessibility Servicea, kreira lažne phishing ekrane koji se pretvaraju da su predstavnici različitih banaka kako bi prikupio lične identifikacione informacije (PII) i preuzima uređaje za potpuno daljinsko hakovanje.
Rocinante Malware daljinski preuzima Android uređaj
Rocinante je opisan kao evolucija bankarskog trojanca, koji uključuje društveni inženjering i postiže tehničku efikasnost.
Koristeći ove privilegije usluge, sposoban je pratiti kako korisnici upravljaju uređajem, kako unose osjetljive informacije i kako izvode kritične operacije koje ometaju i mogu biti štetne za mobilno bankarstvo uopšteno.
Rocinante je brazilski bankarski maliciozni softver interno nazvan “Pegasus” ili “PegasusSpy”, koji se razlikuje od špijunskog softvera Pegasus grupe NSO .
Prvenstveno cilja na velike brazilske finansijske institucije putem phishing web stranica koje distribuišu maliciozne APK-ove maskirane u sigurnosna ažuriranja, kurirske aplikacije ili bankarske aplikacije, rekao je ThreatFabric .
Nakon instalacije, Rocinante preuzima kontrolu nad Androidovim uslugama pristupačnosti za keylogging kao i za praćenje događaja u korisničkom sučelju.
Uključuje standardnu višeprotokolnu C2 komunikaciju , gdje koristi samo HTTP za podešavanje, WebSockets za olakšavanje prijenosa podataka i Firebase za registraciju uređaja.
Krađa podataka iz PII i podataka za prijavu se postiže pomoću Telegram botova preko ukradenih podataka.
Količina daljinskih funkcionalnosti koje maliciozni softver posjeduje uključuje slanje simuliranih dodira, prevlačenja i pomicanja polja, što omogućava nelegitimne transakcije.
Rocinante dovršava pronalaženje pokretnih ciljeva sa C2 servera i koristi ciljane skrinere za krađu identiteta dizajnirane za određene banke.
Ranije verzije su uključivale kod od procurilog malvera Ermac/Hook, koji je imao veze sa snimkama ekrana i napadima na novčanike kriptovaluta, ali od najnovijeg, došlo je do evolucije.
Komponenta bilježenja pritiska na tipku malicioznog softvera bilježi sve ključne aktivnosti korisničkog sučelja u određenoj vrsti formata koji se dalje šalje putem web socket kanala.
Rocinanteova kombinacija krađe PII, kontrole uređaja i manipulacije transakcijama predstavlja značajne rizike za brazilske bankarske klijente. Ovo naglašava trenutni krajolik finansijskog sajber kriminala u Latinskoj Americi.
Izvor: CyberSecurityNews
