ロシナンテ モバイル マルウェア

新たなマルウェア攻撃がブラジルのモバイル ユーザーをターゲットにしており、Rocinante と呼ばれる Android バンキング型トロイの木馬を展開しています。このマルウェアは、アクセシビリティ サービスを悪用してキー入力を記録し、さまざまな銀行を模倣したフィッシング画面を通じて被害者から個人識別情報 (PII) を収集します。さらに、盗んだデータを使用してデバイスを乗っ取り、アクセシビリティ サービスの権限を利用して感染したデバイスへの完全なリモート アクセスを取得します。

正規のアプリケーションを装う

このマルウェアは、Bradesco PrimeやCorreios Celularなどを装った偽のアプリケーションを使用して、Itaú ShopやSantanderを含むいくつかの著名な金融機関を標的にしています。

• リベロ ポントス (com.resgatelivelo.cash)
• コレイオス レカルガ (com.correiosrecarga.android)
• ブラテスコ プライン (com.resgatelivelo.cash)
• セグランサ モジュール (com.viberotion1414.app)

マルウェアのソース コードを分析すると、オペレーターは内部的に Rocinante を Pegasus または PegasusSpy と呼んでいることがわかります。ただし、この Pegasus は商用監視ベンダー NSO Group が開発したクロスプラットフォーム スパイウェアとは何の関係もないことは明確にしておく必要があります。

他のマルウェアファミリーとの関連

Silent Push による最近の分析によると、Pegasus は DukeEugene として知られる脅威アクターによるもので、このアクターはERMAC 、 BlackRock 、Hook、Loot などの類似のマルウェアも開発している。

研究者らは、Rocinante に ERMAC の以前のバージョンの影響を受けた要素が含まれていることを発見しました。2023 年に ERMAC のソース コードが漏洩したことが、この開発に寄与した可能性があります。これは、オリジナルのマルウェア ファミリが漏洩したコードの一部を独自のものに組み込んだと思われる最初の例です。また、Rocinante と ERMAC が同じ初期プロジェクトの別のブランチを表している可能性もあります。

バンキング型トロイの木馬「ロシナンテ」が機密データを狙う

Rocinante は主に、ユーザーを騙して偽のドロッパー アプリケーションをインストールさせるフィッシング Web サイトを通じて拡散します。インストールされると、これらのアプリケーションはアクセシビリティ サービスの権限を要求し、感染したデバイス上のすべてのアクティビティを監視し、SMS メッセージを傍受し、フィッシング ログイン ページを表示します。

このマルウェアは、タッチやスワイプのイベントをシミュレートするなど、リモート指示を受信するためにコマンド アンド コントロール (C2) サーバーにも接続します。収集された個人情報は Telegram ボットに送信され、標的の銀行になりすました偽のログイン ページから取得された有用なデータが抽出されます。その後、この情報はフォーマットされ、犯罪者がアクセスできるチャットで共有されます。

詳細は、使用される偽のログイン ページによって異なり、モデルや電話番号、CPF 番号、パスワード、アカウント番号などのデバイス情報が含まれます。

脅威アクターは類似の感染ベクトルを悪用する

Rocinante バンキング型トロイの木馬の開発は、secureserver.net ドメインを悪用してスペイン語とポルトガル語圏を標的とする新しいバンキング型トロイの木馬マルウェア キャンペーンをサイバーセキュリティ研究者が発見した時期と一致しています。

多段階攻撃は、難読化された .hta ファイルを含むアーカイブにユーザーを誘導する脅迫的な URL から始まります。このファイルは、最終的な AutoIT ペイロードをダウンロードする前に、さまざまな AntiVM および AntiAV チェックを実行する JavaScript ペイロードをトリガーします。その後、AutoIT ペイロードはプロセス インジェクションを通じて実行され、被害者のシステムから銀行情報と認証情報を収集し、そのデータをコマンド アンド コントロール (C2) サーバーに流出させることを目的としています。