Rocinante Mobile Malware
Eine neue Malware-Kampagne zielt auf mobile Benutzer in Brasilien ab und setzt einen Android-Banking-Trojaner namens Rocinante ein. Diese Malware kann Tastatureingaben protokollieren, indem sie den Accessibility Service ausnutzt, und über Phishing-Masken, die verschiedene Banken imitieren, personenbezogene Daten (PII) von Opfern sammeln. Darüber hinaus nutzt sie die gestohlenen Daten, um das Gerät zu übernehmen, und nutzt die Berechtigungen des Accessibility Service, um vollständigen Fernzugriff auf das infizierte Gerät zu erhalten.
Inhaltsverzeichnis
Als legitime Anwendungen getarnt
Die Malware zielt mit gefälschten Anwendungen, die sich unter anderem als Bradesco Prime und Correios Celular ausgeben, auf mehrere namhafte Finanzinstitute ab, darunter Itaú Shop und Santander:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Modulo de Segurança (com.viberotion1414.app)
Eine Analyse des Quellcodes der Malware zeigt, dass die Betreiber Rocinante intern als Pegasus oder PegasusSpy bezeichnen. Allerdings muss klargestellt werden, dass dieses Pegasus keinerlei Verbindung zu der plattformübergreifenden Spyware des kommerziellen Überwachungsanbieters NSO Group hat.
Verbindungen zu anderen Malware-Familien
Pegasus wird einem Bedrohungsakteur namens DukeEugene zugeschrieben, der einer aktuellen Analyse von Silent Push zufolge auch ähnliche Schadsoftware-Stämme wie ERMAC , BlackRock , Hook und Loot entwickelt hat.
Forscher haben herausgefunden, dass Rocinante Elemente enthält, die von früheren Versionen von ERMAC beeinflusst sind. Das Leck des ERMAC-Quellcodes im Jahr 2023 könnte zu dieser Entwicklung beigetragen haben. Dies ist das erste Mal, dass eine ursprüngliche Malware-Familie Teile des durchgesickerten Codes in ihren eigenen integriert zu haben scheint. Es ist auch möglich, dass Rocinante und ERMAC separate Zweige desselben ursprünglichen Projekts darstellen.
Der Banking-Trojaner Rocinante hat es auf sensible Daten abgesehen
Rocinante wird hauptsächlich über Phishing-Websites verbreitet, die darauf ausgelegt sind, Benutzer zur Installation gefälschter Dropper-Anwendungen zu verleiten. Nach der Installation fordern diese Anwendungen Zugriffsberechtigungen an, um alle Aktivitäten auf dem infizierten Gerät zu überwachen, SMS-Nachrichten abzufangen und Phishing-Anmeldeseiten anzuzeigen.
Die Malware verbindet sich außerdem mit einem Command-and-Control-Server (C2), um Remote-Anweisungen zu empfangen, darunter die Simulation von Touch- und Swipe-Ereignissen. Die gesammelten persönlichen Informationen werden an einen Telegram-Bot gesendet, der nützliche Daten extrahiert, die über die gefälschten Anmeldeseiten gewonnen wurden, die sich als Zielbanken ausgeben. Diese Informationen werden dann formatiert und in einem für Kriminelle zugänglichen Chat geteilt.
Die Details variieren je nach verwendeter gefälschter Anmeldeseite und umfassen Geräteinformationen wie Modell und Telefonnummer, CPF-Nummer, Passwort oder Kontonummer.
Bedrohungsakteure nutzen ähnliche Infektionsvektoren
Die Entwicklung des Banking-Trojaners Rocinante fällt mit der Entdeckung einer neuen Schadsoftware-Kampagne durch Cybersicherheitsforscher zusammen, die sich an spanisch- und portugiesischsprachige Regionen richtet und dabei die Domäne secureserver.net ausnutzt.
Der mehrphasige Angriff beginnt mit bedrohlichen URLs, die Benutzer zu einem Archiv mit einer verschleierten .hta-Datei weiterleiten. Diese Datei löst eine JavaScript-Nutzlast aus, die verschiedene AntiVM- und AntiAV-Prüfungen durchführt, bevor die endgültige AutoIT-Nutzlast heruntergeladen wird. Die AutoIT-Nutzlast wird dann durch Prozessinjektion ausgeführt, mit dem Ziel, Bankdaten und Anmeldeinformationen vom System des Opfers abzugreifen und die Daten auf einen Command-and-Control-Server (C2) zu exfiltrieren.
