Pengguna ponsel di Brasil menjadi target kampanye malware baru yang menghadirkan trojan perbankan Android baru bernama Rocinante.
“Keluarga malware ini mampu melakukan pencatatan tombol menggunakan Layanan Aksesibilitas, dan juga mampu mencuri PII dari korbannya menggunakan layar phishing yang menyamar sebagai bank yang berbeda,” kata perusahaan keamanan Belanda ThreatFabric.
“Terakhir, ia dapat menggunakan semua informasi yang dicuri ini untuk melakukan pengambilalihan perangkat (DTO) dengan memanfaatkan hak istimewa layanan aksesibilitas untuk memperoleh akses jarak jauh penuh pada perangkat yang terinfeksi.”
Beberapa target malware yang menonjol termasuk lembaga keuangan seperti Itaú Shop, Santander, dengan aplikasi palsu yang menyamar sebagai Bradesco Prime dan Correios Celular, antara lain –
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bradesco Prime (com.resgatelivelo.cash)
- Modul Keamanan (com.viberotion1414.app)
Analisis kode sumber malware tersebut telah mengungkap bahwa Rocinante secara internal disebut oleh operator sebagai Pegasus (atau PegasusSpy). Perlu dicatat bahwa nama Pegasus tidak memiliki hubungan dengan spyware lintas platform yang dikembangkan oleh vendor pengawasan komersial NSO Group.
Konon, Pegasus dinilai merupakan hasil karya aktor ancaman yang dijuluki DukeEugene, yang juga dikenal dengan jenis malware serupa seperti ERMAC, BlackRock, Hook, dan Loot, menurut analisis terbaru oleh Silent Push.
ThreatFabric mengatakan pihaknya mengidentifikasi bagian dari malware Rocinante yang secara langsung dipengaruhi oleh iterasi awal ERMAC, meskipun diyakini bahwa kebocoran kode sumber ERMAC pada tahun 2023 mungkin berperan.
“Ini adalah kasus pertama di mana keluarga malware asli mengambil kode dari kebocoran dan hanya menerapkan sebagian saja dalam kode mereka,” ungkapnya. “Ada kemungkinan juga bahwa kedua versi ini merupakan cabang terpisah dari proyek awal yang sama.”
Rocinante terutama didistribusikan melalui situs phishing yang bertujuan untuk mengelabui pengguna yang tidak menaruh curiga agar memasang aplikasi dropper palsu yang, setelah dipasang, meminta hak istimewa layanan aksesibilitas untuk merekam semua aktivitas pada perangkat yang terinfeksi, menyadap pesan SMS, dan menyajikan halaman login phishing.
Ia juga menjalin kontak dengan server perintah-dan-kontrol (C2) untuk menunggu instruksi lebih lanjut – simulasi kejadian sentuhan dan gesekan – yang akan dijalankan dari jarak jauh. Informasi pribadi yang dikumpulkan diekstraksi ke bot Telegram.
“Bot tersebut mengekstrak PII yang berguna yang diperoleh menggunakan halaman login palsu yang menyamar sebagai bank target. Bot tersebut kemudian menerbitkan informasi ini, yang diformat, ke dalam obrolan yang dapat diakses oleh penjahat,” catat ThreatFabric.
“Informasi tersebut sedikit berubah berdasarkan halaman login palsu yang digunakan untuk mendapatkannya, dan mencakup informasi perangkat seperti model dan nomor telepon, nomor CPF, kata sandi, atau nomor akun.”
Dalam pernyataan yang dibagikan kepada The Hacker News, juru bicara Google mengatakan tidak ada aplikasi yang mengandung malware yang terdeteksi di Play Store. Google juga mengatakan bahwa semua pengguna Android dilindungi dari ancaman oleh Google Play Protect, yang diaktifkan secara default pada perangkat Android dengan Google Play Services, meskipun aplikasi diunduh dari sumber app store lain.
Perkembangan ini terjadi ketika Symantec menyoroti kampanye malware trojan perbankan lain yang mengeksploitasi secureserver[.]domain .net untuk menargetkan wilayah berbahasa Spanyol dan Portugis.
“Serangan bertingkat ini dimulai dengan URL berbahaya yang mengarah ke arsip yang berisi file .hta yang dikaburkan,” kata perusahaan milik Broadcom itu.
“Berkas ini mengarah ke muatan JavaScript yang menjalankan beberapa pemeriksaan AntiVM dan AntiAV sebelum mengunduh muatan AutoIT terakhir. Muatan ini dimuat menggunakan proses injeksi dengan tujuan mencuri informasi perbankan dan kredensial dari sistem korban dan mengekstraknya ke server C2.”
Ini juga mengikuti munculnya “extensionware-as-a-service” baru yang diiklankan untuk dijual melalui versi terbaru Genesis Market, yang ditutup oleh penegak hukum pada awal tahun 2023. Kit ini dirancang
Aktivitas tersebut, yang aktif sejak pertengahan 2023 dan menargetkan Meksiko serta negara-negara LATAM lainnya, telah dikaitkan dengan kelompok kejahatan elektronik bernama Cybercartel, yang menawarkan jenis layanan ini kepada kru penjahat dunia maya lainnya. Ekstensi tersebut tidak lagi tersedia untuk diunduh.
“Ekstensi Google Chrome yang berbahaya menyamarkan dirinya sebagai aplikasi yang sah, menipu pengguna agar menginstalnya dari situs web yang disusupi atau kampanye phishing,” kata peneliti keamanan Ramses Vazquez dari Karla Gomez dari Tim Intelijen Ancaman Metabase Q Ocelot.
“Setelah ekstensi dipasang, ekstensi tersebut menyuntikkan kode JavaScript ke halaman web yang dikunjungi pengguna. Kode ini dapat menyadap dan memanipulasi konten halaman, serta mengambil data sensitif seperti kredensial login, informasi kartu kredit, dan masukan pengguna lainnya, tergantung pada kampanye tertentu dan jenis informasi yang menjadi target.”
(Cerita ini diperbarui setelah dipublikasikan untuk menyertakan tanggapan dari Google.)