Gli utenti di dispositivi mobili in Brasile sono al centro di una nuova campagna di malware che distribuisce un trojan bancario Android chiamato Rocinante. Questo trojan sfrutta il Servizio di Accessibilità per eseguire il keylogging e rubare informazioni personali sensibili (PII) dalle vittime utilizzando schermate di phishing che si spacciano per diverse banche. Inoltre, Rocinante può sfruttare queste informazioni esfiltrate per prendere il controllo completo del dispositivo infetto, ottenendo così l'accesso remoto.

Principali istituzioni finanziarie prese di mira

Tra le principali istituzioni finanziarie prese di mira dal malware ci sono Itaú Shop, Santander, con app false che si mascherano da Bradesco Prime e Correios Celular. Un'analisi del codice sorgente del malware ha rivelato che gli operatori chiamano Rocinante internamente come Pegasus, ma questo nome non ha alcuna connessione con lo spyware cross-platform sviluppato dal vendor di sorveglianza commerciale NSO Group. Si ritiene che Pegasus sia opera di un attore di minacce noto come DukeEugene, già conosciuto per altri malware come ERMAC, BlackRock, Hook e Loot. ThreatFabric ha identificato parti del malware Rocinante direttamente influenzate dalle prime versioni di ERMAC, suggerendo che la fuga di codice sorgente di ERMAC nel 2023 possa aver avuto un ruolo.

Distribuzione del malware

Rocinante viene principalmente distribuito tramite siti di phishing che mirano a ingannare gli utenti inducendoli a installare app dropper contraffatte. Una volta installate, queste app richiedono privilegi di servizio di accessibilità per registrare tutte le attività sul dispositivo infetto, intercettare i messaggi SMS e servire pagine di accesso phishing. Il malware stabilisce anche un contatto con un server di comando e controllo (C2) per attendere ulteriori istruzioni, simulando eventi di tocco e scorrimento da eseguire in remoto. Le informazioni personali raccolte vengono esfiltrate a un bot di Telegram.

Esfiltrazione delle informazioni

Il bot estrae le PII utili ottenute utilizzando le pagine di login false che si spacciano per le banche target. Poi pubblica queste informazioni, formattate, in una chat accessibile dai criminali. Le informazioni variano leggermente in base alla pagina di login falsa utilizzata e includono dettagli del dispositivo come modello e numero di telefono, numero CPF, password o numero di conto.

Ulteriori sviluppi

Questo sviluppo avviene mentre Symantec ha evidenziato un'altra campagna di malware bancario che sfrutta il dominio secureserver[.]net per prendere di mira regioni di lingua spagnola e portoghese. L'attacco inizia con URL dannosi che conducono a un archivio contenente un file .hta offuscato, che a sua volta porta a un payload JavaScript che esegue controlli AntiVM e AntiAV prima di scaricare il payload finale AutoIT. Questo payload viene caricato utilizzando l'iniezione di processo con l'obiettivo di rubare informazioni bancarie e credenziali dal sistema della vittima e esfiltrarle a un server C2.

Campagna del Cybercartel

L'attività, attiva dalla metà del 2023 e mirata al Messico e ad altre nazioni LATAM, è attribuita a un gruppo di e-crime chiamato Cybercartel, che offre questi tipi di servizi ad altre bande di criminali informatici. Le estensioni non sono più disponibili per il download. La campagna di estensioni dannose per Google Chrome si maschera come applicazioni legittime, ingannando gli utenti a installarle da siti compromessi o campagne di phishing. Una volta installata, l'estensione inietta codice JavaScript nelle pagine web visitate dall'utente, intercettando e manipolando il contenuto delle pagine e catturando dati sensibili come credenziali di accesso, informazioni di carte di credito e altri input dell'utente.