More

    Hakeri koriste Rocinante maliciozni softver za daljinsko preuzimanje Android uređaja

    Stalno evoluirajući krajolik malicioznog softvera razvija se alarmantnom brzinom, jer je već primjećeno mnoštvo novih sojeva.

    Hakeri postaju sve inovativniji i sofisticiraniji u svom načinu napada, posebno tražeći uređaje Interneta stvari i iskorištavajući nedostatke popularnih aplikacija.

    Kao rezultat toga, okruženje mobilnog maliciozni softvera je također brzo evoluiralo, a najzabrinjavajuća nova vrsta za Brazil je “Rocinante”, kako su izvijestili istraživači kibernetičke sigurnosti u ThreatFabric-u.

    Osim toga, ovaj maliciozni softver koristi keylogging putem Android Accessibility Servicea, kreira lažne phishing ekrane koji se pretvaraju da su predstavnici različitih banaka kako bi prikupio lične identifikacione informacije (PII) i preuzima uređaje za potpuno daljinsko hakovanje.

    Rocinante Malware daljinski preuzima Android uređaj

    Rocinante je opisan kao evolucija bankarskog trojanca, koji uključuje društveni inženjering i postiže tehničku efikasnost.

    Koristeći ove privilegije usluge, sposoban je pratiti kako korisnici upravljaju uređajem, kako unose osjetljive informacije i kako izvode kritične operacije koje ometaju i mogu biti štetne za mobilno bankarstvo uopšteno.

    Rocinante je brazilski bankarski maliciozni softver interno nazvan “Pegasus” ili “PegasusSpy”, koji se razlikuje od špijunskog softvera Pegasus grupe NSO . 

    Prvenstveno cilja na velike brazilske finansijske institucije putem phishing web stranica koje distribuišu maliciozne APK-ove maskirane u sigurnosna ažuriranja, kurirske aplikacije ili bankarske aplikacije, rekao je ThreatFabric .

    Nakon instalacije, Rocinante preuzima kontrolu nad Androidovim uslugama pristupačnosti za keylogging kao i za praćenje događaja u korisničkom sučelju.

    Uključuje standardnu ​​višeprotokolnu C2 komunikaciju , gdje koristi samo HTTP za podešavanje, WebSockets za olakšavanje prijenosa podataka i Firebase za registraciju uređaja.

    Karakteristike i mogućnosti (izvor – ThreatFabric)

    Krađa podataka iz PII i podataka za prijavu se postiže pomoću Telegram botova preko ukradenih podataka.

    Količina daljinskih funkcionalnosti koje maliciozni softver posjeduje uključuje slanje simuliranih dodira, prevlačenja i pomicanja polja, što omogućava nelegitimne transakcije.

    Rocinante dovršava pronalaženje pokretnih ciljeva sa C2 servera i koristi ciljane skrinere za krađu identiteta dizajnirane za određene banke.

    Ermac i Rocinante kod (Izvor – ThreatFabric)

    Ranije verzije su uključivale kod od procurilog malvera Ermac/Hook, koji je imao veze sa snimkama ekrana i napadima na novčanike kriptovaluta, ali od najnovijeg, došlo je do evolucije.

    Komponenta bilježenja pritiska na tipku malicioznog softvera bilježi sve ključne aktivnosti korisničkog sučelja u određenoj vrsti formata koji se dalje šalje putem web socket kanala.

    Rocinanteova kombinacija krađe PII, kontrole uređaja i manipulacije transakcijama predstavlja značajne rizike za brazilske bankarske klijente. Ovo naglašava trenutni krajolik finansijskog sajber kriminala u Latinskoj Americi.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories