Sürekli gelişen kötü amaçlı yazılım ortamı endişe verici bir hızla gelişiyor; zira halihazırda çok sayıda yeni tür fark edildi.
Bilgisayar korsanları, saldırı yöntemlerinde giderek daha yenilikçi ve daha sofistike hale geliyor; özellikle Nesnelerin İnterneti cihazlarını araştırıyor ve popüler uygulamaların kusurlarından yararlanıyor.
Bunun sonucunda mobil kötü amaçlı yazılım alanı da hızla evrim geçirdi ve ThreatFabric siber güvenlik araştırmacılarının bildirdiğine göre, Brezilya için en endişe verici yeni tür “Rocinante” oldu.
Ayrıca bu kötü amaçlı yazılım, Android Erişilebilirlik Hizmeti aracılığıyla tuş kaydı kullanıyor, çeşitli bankaların temsilcileri gibi davranarak kişisel olarak tanımlanabilir bilgileri (PII) toplamak için sahte kimlik avı ekranları oluşturuyor ve cihazları ele geçirerek uzaktan tam saldırı gerçekleştiriyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
Rocinante Kötü Amaçlı Yazılım Uzaktan Android Cihazı Ele Geçiriyor
Rocinante, sosyal mühendisliği de bünyesinde barındıran ve teknik etkinlik sağlayan bir bankacılık trojanının evrimleşmiş hali olarak tanımlanıyor.
Bu hizmet ayrıcalıklarını kullanarak kullanıcıların cihazı nasıl kullandıklarını, hassas bilgileri nasıl girdiklerini ve genel olarak mobil bankacılığa müdahale edebilecek ve zarar verebilecek kritik işlemleri nasıl gerçekleştirdiklerini izleyebiliyor.
Rocinante, Brezilya’da “Pegasus” veya “PegasusSpy” olarak adlandırılan, NSO Group’un Pegasus casus yazılımından farklı bir bankacılık kötü amaçlı yazılımıdır.
ThreatFabric, saldırının öncelikli olarak güvenlik güncellemeleri, kurye uygulamaları veya bankacılık uygulamaları gibi görünen kötü amaçlı APK’ları dağıtan kimlik avı siteleri aracılığıyla büyük Brezilya finans kuruluşlarını hedef aldığını söyledi.
Kurulumdan sonra Rocinante, tuş kaydı tutma ve kullanıcı arayüzündeki olayları izleme amacıyla Android Erişilebilirlik Hizmetlerinin kontrolünü ele geçirir.
Kurulum için yalnızca HTTP, veri transferini kolaylaştırmak için WebSockets ve cihazı kaydetmek için Firebase kullanan standart çoklu protokol C2 iletişimini içerir.
Çalınan veriler üzerinden Telegram botları kullanılarak kişisel bilgiler ve giriş bilgileri üzerinden veri hırsızlığı gerçekleştiriliyor.
Kötü amaçlı yazılımın sahip olduğu uzaktan işlevlerin miktarı arasında, yasadışı işlemleri mümkün kılan simüle edilmiş dokunmalar, kaydırmalar ve alan hareketleri gönderme yer alıyor.
Rocinante, C2 sunucularından hareketli hedeflerin alınmasını tamamlar ve belirli bankalar için tasarlanmış hedefli kimlik avı tarayıcılarından faydalanır.
Daha önceki sürümlerde, ekran görüntüleri ve kripto para cüzdanlarına yapılan saldırılarla ilgili olan ve sızdırılan Ermac/Hook zararlı yazılımının kodları yer alıyordu ancak son sürümlerde bazı değişiklikler yaşandı.
Kötü amaçlı yazılımın tuş vuruşu kaydı bileşeni, tüm önemli kullanıcı arayüzü etkinliklerini belirli bir formatta kaydeder ve bunları web soket kanalları aracılığıyla gönderir.
Rocinante’nin PII hırsızlığı, cihaz kontrolü ve işlem manipülasyonu kombinasyonu, Brezilyalı bankacılık müşterileri için önemli riskler oluşturmaktadır. Bu, Latin Amerika’daki mevcut finansal siber suç manzarasını vurgulamaktadır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial