Rocinante Trojan doet zich voor als bank-app om gevoelige gegevens van Braziliaanse Android-gebruikers te stelen

Mobiele gebruikers in Brazilië zijn het doelwit van een nieuwe malwarecampagne die een nieuwe Android-bankingtrojan met de naam Rocinante verspreidt.

“Deze malwarefamilie kan keylogging uitvoeren via de Accessibility Service en kan ook PII van slachtoffers stelen met behulp van phishingschermen die zich voordoen als die van andere banken”, aldus het Nederlandse beveiligingsbedrijf ThreatFabric.

“Ten slotte kan het al deze geëxfiltreerde informatie gebruiken om een ​​apparaatovername (DTO) uit te voeren op het apparaat, door de privileges van de toegankelijkheidsservice te benutten om volledige externe toegang tot het geïnfecteerde apparaat te verkrijgen.”

Enkele van de prominente doelen van de malware zijn financiële instellingen zoals Itaú Shop, Santander, waarbij de nep-apps zich voordoen als Bradesco Prime en Correios Celular, naast andere –

  • Livelo Pontos (com.resgatelivelo.cash)
  • Correios Recarga (com.correiosrecarga.android)
  • Bratesco Prine (com.resgatelivelo.cash)
  • Segurança-module (com.viberotion1414.app)

Broncodeanalyse van de malware heeft onthuld dat Rocinante intern door de operators Pegasus (of PegasusSpy) wordt genoemd. Het is het vermelden waard dat de naam Pegasus geen verband houdt met een cross-platform spyware die is ontwikkeld door de commerciële surveillanceleverancier NSO Group.

Dat gezegd hebbende, wordt Pegasus gezien als het werk van een kwaadwillende actor met de naam DukeEugene, die ook bekend is van soortgelijke malware-varianten zoals ERMAC, BlackRock, Hook en Loot, zo blijkt uit een recente analyse van Silent Push.

ThreatFabric meldde dat het onderdelen van de Rocinante-malware heeft geïdentificeerd die direct beïnvloed zijn door eerdere versies van ERMAC. Er wordt echter aangenomen dat het lekken van de broncode van ERMAC in 2023 mogelijk een rol heeft gespeeld.

“Dit is het eerste geval waarin een originele malware-familie de code van het lek heeft overgenomen en slechts een deel ervan in hun code heeft geïmplementeerd”, zo werd aangegeven. “Het is ook mogelijk dat deze twee versies afzonderlijke forks zijn van hetzelfde oorspronkelijke project.”

Rocinante wordt voornamelijk verspreid via phishingsites die nietsvermoedende gebruikers willen misleiden zodat ze valse dropper-apps installeren. Zodra de apps zijn geïnstalleerd, vragen ze om toegangsrechten om alle activiteiten op het geïnfecteerde apparaat te registreren, sms-berichten te onderscheppen en phishing-inlogpagina’s te tonen.

Het legt ook contact met een command-and-control (C2) server om te wachten op verdere instructies – simuleren touch en swipe events – die op afstand moeten worden uitgevoerd. De verzamelde persoonlijke informatie wordt geëxfiltreerd naar een Telegram bot.

“De bot extraheert de nuttige PII die is verkregen via de valse inlogpagina’s die zich voordoen als de doelbanken. Vervolgens publiceert hij deze informatie, geformatteerd, in een chat waar criminelen toegang toe hebben,” merkte ThreatFabric op.

“De informatie verandert enigszins, afhankelijk van welke nep-inlogpagina is gebruikt om de identiteitskaart te verkrijgen, en omvat apparaatgegevens zoals model en telefoonnummer, CPF-nummer, wachtwoord of accountnummer.”

De ontwikkeling vindt plaats terwijl Symantec een andere banking trojan-malwarecampagne onder de aandacht bracht die het secureserver(.)net-domein misbruikt om Spaans- en Portugeestalige regio’s te targeten.

“De aanval in meerdere fasen begint met kwaadaardige URL’s die leiden naar een archief met een gemaskeerd .hta-bestand”, aldus het bedrijf dat eigendom is van Broadcom.

“Dit bestand leidt naar een JavaScript-payload die meerdere AntiVM- en AntiAV-controles uitvoert voordat de uiteindelijke AutoIT-payload wordt gedownload. Deze payload wordt geladen met behulp van procesinjectie met als doel bankgegevens en inloggegevens van het systeem van het slachtoffer te stelen en deze te exfiltreren naar een C2-server.”

Het volgt ook op de opkomst van een nieuwe ‘extensionware-as-a-service’ die te koop wordt aangeboden via een nieuwe versie van de Genesis Market, die begin 2023 door de politie werd gesloten en is ontworpen om gevoelige informatie van gebruikers in de Latijns-Amerikaanse regio (LATAM) te stelen met behulp van schadelijke webbrowserextensies die via de Chrome Web Store worden verspreid.

De activiteit, actief sinds medio 2023 en gericht op Mexico en andere LATAM-landen, is toegeschreven aan een e-crimegroep genaamd Cybercartel, die dit soort diensten aanbiedt aan andere cybercriminele bendes. De extensies zijn niet langer beschikbaar om te downloaden.

“De schadelijke extensie voor Google Chrome doet zich voor als een legitieme applicatie en misleidt gebruikers zodat ze de extensie installeren vanaf gecompromitteerde websites of phishingcampagnes”, aldus beveiligingsonderzoekers Ramses Vazquez van Karla Gomez van het Metabase Q Ocelot Threat Intelligence Team.

“Zodra de extensie is geïnstalleerd, injecteert deze JavaScript-code in de webpagina’s die de gebruiker bezoekt. Deze code kan de inhoud van de pagina’s onderscheppen en manipuleren, en gevoelige gegevens vastleggen, zoals inloggegevens, creditcardgegevens en andere gebruikersinvoer, afhankelijk van de specifieke campagne en het type informatie dat wordt getarget.”

Thijs Van der Does