Коварный троян маскируется под банковские приложения, похищая последние сбережения.
Исследователи ThreatFabricнедавно зафиксировали активность нового вредоносного ПО для Android, нацеленного на пользователей банковских услуг в Бразилии. Эксперты по безопасности идентифицировали новую угрозу под названием Rocinante, представляющую собой современный тип банковского трояна, способного захватывать управление устройством жертвы и похищать её личные данные.
Rocinante, получивший своё имя в честь коня Дон Кихота, разработан с использованием современных технологий, позволяющих ему перехватывать вводимые данные, имитировать интерфейс банковских приложений и получать полный доступ к устройству, благодаря использованию привилегий службы специальных возможностей Android. Вредоносное ПО активно использует фишинговые экраны для сбора конфиденциальной информации, которая затем передаётся злоумышленникам.
Несмотря на свои уникальные черты, Rocinante часто путают с другим известным шпионским ПО — Pegasus. Хотя название Pegasus также используется создателями Rocinante для внутренних нужд, это ПО не связано с известным шпионским инструментом от NSO Group, предназначенным для слежки за журналистами, активистами и политическими деятелями. Основное отличие Rocinante — его ориентация на финансовую выгоду через компрометацию банковских данных пользователей в Бразилии.
Распространение Rocinante осуществляется через фишинговые сайты, предлагающие установить вредоносные APK-файлы под видом легитимных приложений банков или служб безопасности. Как только пользователь предоставляет приложению необходимые права, вредоносное ПО начинает фиксировать все действия на устройстве и отправлять полученные данные на серверы злоумышленников.
Особенностью Rocinante является его способность к динамическому изменению целей атаки, что позволяет использовать один и тот же вредоносный код для атак на разные финансовые учреждения в зависимости от региона. Однако, в случае с Бразилией, список целей жёстко запрограммирован и включает в себя крупнейшие банковские учреждения страны, такие как Bradesco, Itaú и Banco do Brasil.
Кроме того, Rocinante отличается интеграцией кода от другой известной вредоносной программы — Ermac, что говорит о заинтересованности бразильских киберпреступников в использовании наработок их зарубежных коллег. Однако, несмотря на заимствования, Rocinante сохраняет свою уникальность и опасность, продолжая эволюционировать и адаптироваться к локальным условиям.
Благодаря своим возможностям ведения кейлоггинга, фишинга и удалённого доступа, Rocinante представляет значительный риск для банковских клиентов, поскольку их конфиденциальные финансовые данные, включая номера счетов, пароли и детали транзакций, могут быть скомпрометированы. Получив в свое распоряжение эту информацию, злоумышленники могут инициировать несанкционированные переводы и опустошать банковские счета.
Кроме того, возможность удалённого доступа позволяет злоумышленникам сохранять постоянный контроль над устройством, отслеживать действия и потенциально манипулировать транзакциями в режиме реального времени, что ещё больше увеличивает финансовый риск для ничего не подозревающих клиентов.
Эксперты предупреждают о необходимости повышенной осторожности при скачивании приложений и рекомендуют проверять подлинность программного обеспечения перед его установкой. Важно помнить, что злоумышленники продолжают искать новые способы обмана пользователей, и Rocinante — лишь один из примеров того, как современные киберугрозы могут эволюционировать и адаптироваться к различным условиям.