Uma nova campanha de malware direcionada a usuários de dispositivos móveis no Brasil está utilizando um trojan bancário para Android denominado Rocinante. Segundo a empresa de segurança holandesa ThreatFabric, o malware é capaz de realizar a captura de teclas através do Serviço de Acessibilidade e de roubar informações pessoais (PII) das vítimas usando telas de phishing que se passam por diferentes bancos.

O Rocinante também pode realizar a tomada de controle total do dispositivo infectado, aproveitando os privilégios do serviço de acessibilidade para acesso remoto completo. Entre os principais alvos do malware estão instituições financeiras como Itaú Shop e Santander, além de aplicativos falsos que se disfarçam de Bradesco Prime e Correios Celular. Alguns dos aplicativos falsos distribuídos incluem "Livelo Pontos" e "Correios Recarga".

A análise do código-fonte do malware revelou que os operadores se referem internamente ao Rocinante como Pegasus ou PegasusSpy, não relacionado ao spyware Pegasus do NSO Group. O Rocinante é atribuído a um ator de ameaça chamado DukeEugene, conhecido por criar outros malwares como ERMAC, BlackRock, Hook e Loot.

O malware Rocinante é distribuído principalmente por meio de sites de phishing que enganam usuários para instalar aplicativos falsos. Após a instalação, o malware solicita privilégios de serviço de acessibilidade para registrar todas as atividades do dispositivo, interceptar mensagens SMS e exibir páginas de login de phishing. O malware também se comunica com um servidor de comando e controle (C2) para receber instruções adicionais e exfiltrar informações pessoais para um bot no Telegram.

A campanha ocorre em um momento em que outra campanha de malware de trojan bancário foi destacada pela Symantec, que usa o domínio secureserver[.]net para atacar regiões de língua espanhola e portuguesa. Este ataque em várias etapas começa com URLs maliciosos que levam a um arquivo HTA ofuscado, que, por sua vez, carrega um payload projetado para roubar informações bancárias.

Além disso, surge uma nova "extensão-malware-como-serviço" que visa roubar informações sensíveis de usuários na América Latina (LATAM) usando extensões de navegador maliciosas propagadas na Chrome Web Store. Esta atividade é atribuída ao grupo de crime cibernético Cybercartel, que oferece esses serviços para outras equipes de criminosos cibernéticos.

Com informações TheHackerNews

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

4 de Setembro, 2024

Nova campanha de malware visa usuários de Android no Brasil com o trojan bancário Rocinante

Quer ficar por dentro das ultimas notícias na área?

Posts recentes