Logiciel malveillant Rocinante pour mobile
Une nouvelle campagne de malwares cible les utilisateurs mobiles au Brésil, en déployant un cheval de Troie bancaire Android appelé Rocinante. Ce malware peut enregistrer les frappes au clavier en exploitant le service d'accessibilité et collecter des informations personnelles identifiables (PII) auprès des victimes via des écrans de phishing imitant différentes banques. De plus, il utilise les données volées pour prendre le contrôle de l'appareil, en utilisant les privilèges du service d'accessibilité pour obtenir un accès à distance complet à l'appareil infecté.
Table des matières
Se faisant passer pour des applications légitimes
Le logiciel malveillant cible plusieurs institutions financières de premier plan, notamment Itaú Shop et Santander, avec de fausses applications se faisant passer pour Bradesco Prime et Correios Celular, entre autres :
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Module de sécurité (com.viberotion1414.app)
L'analyse du code source du malware révèle que les opérateurs font référence en interne à Rocinante sous le nom de Pegasus ou PegasusSpy. Il est toutefois nécessaire de préciser que ce Pegasus n'a aucun lien avec le logiciel espion multiplateforme développé par le fournisseur de surveillance commerciale NSO Group.
Connexions avec d'autres familles de logiciels malveillants
Pegasus est attribué à un acteur malveillant connu sous le nom de DukeEugene, qui a également développé des souches de malwares similaires telles que ERMAC , BlackRock , Hook et Loot, selon une analyse récente de Silent Push.
Des chercheurs ont découvert que Rocinante incluait des éléments influencés par des versions antérieures d'ERMAC. La fuite du code source d'ERMAC en 2023 pourrait avoir contribué à ce développement. C'est la première fois qu'une famille de malwares originale semble avoir incorporé des parties du code divulgué dans le sien. Il est également possible que Rocinante et ERMAC représentent des branches distinctes du même projet initial.
Le cheval de Troie bancaire Rocinante cible les données sensibles
Rocinante se propage principalement via des sites Web de phishing conçus pour tromper les utilisateurs et les inciter à installer des applications de dropper contrefaites. Une fois installées, ces applications demandent des privilèges de service d'accessibilité pour surveiller toutes les activités sur l'appareil infecté, intercepter les messages SMS et afficher les pages de connexion de phishing.
Le malware se connecte également à un serveur de commande et de contrôle (C2) pour recevoir des instructions à distance, notamment en simulant des événements de toucher et de balayage. Les informations personnelles collectées sont envoyées à un bot Telegram, qui extrait des données utiles obtenues via les fausses pages de connexion se faisant passer pour des banques ciblées. Ces informations sont ensuite formatées et partagées dans un chat accessible aux criminels.
Les détails varient en fonction de la fausse page de connexion utilisée et incluent des informations sur l'appareil telles que le modèle et le numéro de téléphone, le numéro CPF, le mot de passe ou le numéro de compte.
Les acteurs de la menace exploitent des vecteurs d'infection similaires
Le développement du cheval de Troie bancaire Rocinante coïncide avec la découverte par des chercheurs en cybersécurité d'une nouvelle campagne de malware de cheval de Troie bancaire qui cible les régions hispanophones et lusophones en exploitant le domaine secureserver.net.
L'attaque en plusieurs phases commence par des URL menaçantes qui dirigent les utilisateurs vers une archive contenant un fichier .hta obscurci. Ce fichier déclenche une charge utile JavaScript qui effectue diverses vérifications AntiVM et AntiAV avant de télécharger la charge utile AutoIT finale. La charge utile AutoIT est ensuite exécutée par injection de processus, dans le but de récolter les informations bancaires et les informations d'identification du système de la victime et d'exfiltrer les données vers un serveur de commande et de contrôle (C2).
