Malware móvil Rocinante
Una nueva campaña de malware se dirige a los usuarios de dispositivos móviles en Brasil y utiliza un troyano bancario para Android llamado Rocinante. Este malware puede registrar las pulsaciones de teclas mediante el uso del Servicio de Accesibilidad y recolectar información personal identificable (PII) de las víctimas a través de pantallas de phishing que imitan a varios bancos. Además, utiliza los datos robados para tomar el control del dispositivo, utilizando los privilegios del servicio de accesibilidad para obtener acceso remoto completo al dispositivo infectado.
Tabla de contenido
Haciéndose pasar por aplicaciones legítimas
El malware está atacando a varias instituciones financieras importantes, entre ellas Itaú Shop y Santander, con aplicaciones falsas que se hacen pasar por Bradesco Prime y Correios Celular, entre otras:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Seguridad (com.viberotion1414.app)
El análisis del código fuente del malware revela que los operadores se refieren internamente a Rocinante como Pegasus o PegasusSpy. Sin embargo, es necesario aclarar que este Pegasus no tiene ninguna relación con el spyware multiplataforma desarrollado por el proveedor de vigilancia comercial NSO Group.
Conexiones con otras familias de malware
Pegasus se atribuye a un actor de amenazas conocido como DukeEugene, que también ha desarrollado cepas de malware similares como ERMAC , BlackRock , Hook y Loot, según un análisis reciente de Silent Push.
Los investigadores han descubierto que Rocinante incluye elementos influenciados por versiones anteriores de ERMAC. La filtración del código fuente de ERMAC en 2023 puede haber contribuido a este desarrollo. Este es el primer caso en el que una familia de malware original parece haber incorporado partes del código filtrado en su propio código. También es posible que Rocinante y ERMAC representen ramas separadas del mismo proyecto inicial.
El troyano bancario Rocinante ataca datos confidenciales
Rocinante se propaga principalmente a través de sitios web de phishing diseñados para engañar a los usuarios para que instalen aplicaciones falsas. Una vez instaladas, estas aplicaciones solicitan privilegios de servicio de accesibilidad para monitorear todas las actividades en el dispositivo infectado, interceptar mensajes SMS y mostrar páginas de inicio de sesión de phishing.
El malware también se conecta a un servidor de Comando y Control (C2) para recibir instrucciones remotas, incluida la simulación de eventos táctiles y de deslizamiento. La información personal recopilada se envía a un bot de Telegram, que extrae datos útiles obtenidos a través de páginas de inicio de sesión falsas que se hacen pasar por bancos objetivo. Luego, esta información se formatea y se comparte en un chat al que pueden acceder los delincuentes.
Los detalles varían según la página de inicio de sesión falsa utilizada e incluyen información del dispositivo, como modelo y número de teléfono, número de CPF, contraseña o número de cuenta.
Los actores de amenazas explotan vectores de infección similares
El desarrollo del troyano bancario Rocinante coincide con el descubrimiento por parte de investigadores de ciberseguridad de una nueva campaña de malware troyano bancario que se dirige a las regiones de habla hispana y portuguesa explotando el dominio secureserver.net.
El ataque multifase comienza con URL amenazantes que dirigen a los usuarios a un archivo que contiene un archivo .hta ofuscado. Este archivo activa una carga útil de JavaScript que realiza varias comprobaciones de AntiVM y AntiAV antes de descargar la carga útil final de AutoIT. La carga útil de AutoIT se ejecuta a través de la inyección de procesos, con el objetivo de recopilar información bancaria y credenciales del sistema de la víctima y exfiltrar los datos a un servidor de Comando y Control (C2).
