Site icon Kiber.ba

Hakeri koriste Rocinante maliciozni softver za daljinsko preuzimanje Android uređaja

Hakeri koriste Rocinante zlonamjerni softver za daljinsko preuzimanje Android uređaja-Kiber.ba

Hakeri koriste Rocinante zlonamjerni softver za daljinsko preuzimanje Android uređaja-Kiber.ba

Stalno evoluirajući krajolik malicioznog softvera razvija se alarmantnom brzinom, jer je već primjećeno mnoštvo novih sojeva.

Hakeri postaju sve inovativniji i sofisticiraniji u svom načinu napada, posebno tražeći uređaje Interneta stvari i iskorištavajući nedostatke popularnih aplikacija.

Kao rezultat toga, okruženje mobilnog maliciozni softvera je također brzo evoluiralo, a najzabrinjavajuća nova vrsta za Brazil je “Rocinante”, kako su izvijestili istraživači kibernetičke sigurnosti u ThreatFabric-u.

Osim toga, ovaj maliciozni softver koristi keylogging putem Android Accessibility Servicea, kreira lažne phishing ekrane koji se pretvaraju da su predstavnici različitih banaka kako bi prikupio lične identifikacione informacije (PII) i preuzima uređaje za potpuno daljinsko hakovanje.

Rocinante Malware daljinski preuzima Android uređaj

Rocinante je opisan kao evolucija bankarskog trojanca, koji uključuje društveni inženjering i postiže tehničku efikasnost.

Koristeći ove privilegije usluge, sposoban je pratiti kako korisnici upravljaju uređajem, kako unose osjetljive informacije i kako izvode kritične operacije koje ometaju i mogu biti štetne za mobilno bankarstvo uopšteno.

Rocinante je brazilski bankarski maliciozni softver interno nazvan “Pegasus” ili “PegasusSpy”, koji se razlikuje od špijunskog softvera Pegasus grupe NSO . 

Prvenstveno cilja na velike brazilske finansijske institucije putem phishing web stranica koje distribuišu maliciozne APK-ove maskirane u sigurnosna ažuriranja, kurirske aplikacije ili bankarske aplikacije, rekao je ThreatFabric .

Nakon instalacije, Rocinante preuzima kontrolu nad Androidovim uslugama pristupačnosti za keylogging kao i za praćenje događaja u korisničkom sučelju.

Uključuje standardnu ​​višeprotokolnu C2 komunikaciju , gdje koristi samo HTTP za podešavanje, WebSockets za olakšavanje prijenosa podataka i Firebase za registraciju uređaja.

Karakteristike i mogućnosti (izvor – ThreatFabric)

Krađa podataka iz PII i podataka za prijavu se postiže pomoću Telegram botova preko ukradenih podataka.

Količina daljinskih funkcionalnosti koje maliciozni softver posjeduje uključuje slanje simuliranih dodira, prevlačenja i pomicanja polja, što omogućava nelegitimne transakcije.

Rocinante dovršava pronalaženje pokretnih ciljeva sa C2 servera i koristi ciljane skrinere za krađu identiteta dizajnirane za određene banke.

Ermac i Rocinante kod (Izvor – ThreatFabric)

Ranije verzije su uključivale kod od procurilog malvera Ermac/Hook, koji je imao veze sa snimkama ekrana i napadima na novčanike kriptovaluta, ali od najnovijeg, došlo je do evolucije.

Komponenta bilježenja pritiska na tipku malicioznog softvera bilježi sve ključne aktivnosti korisničkog sučelja u određenoj vrsti formata koji se dalje šalje putem web socket kanala.

Rocinanteova kombinacija krađe PII, kontrole uređaja i manipulacije transakcijama predstavlja značajne rizike za brazilske bankarske klijente. Ovo naglašava trenutni krajolik finansijskog sajber kriminala u Latinskoj Americi.

Izvor: CyberSecurityNews

Exit mobile version