Rocinante Trojan Menyamar Jadi Aplikasi Bank, Incar Data Android

Pengguna mobile di Brasil menjadi sasaran kampanye malware baru yang menyebarkan trojan perbankan Android bernama Rocinante.

"Keluarga malware ini mampu melakukan pencatatan tombol (keylogging) menggunakan Layanan Aksesibilitas, serta dapat mencuri data pribadi (PII) dari korbannya dengan menggunakan tampilan phising yang menyamar sebagai berbagai bank," kata perusahaan keamanan Belanda ThreatFabric.

"Akhirnya, ia dapat menggunakan semua informasi yang dieksfiltrasi tersebut untuk melakukan device takeover (DTO) dengan memanfaatkan hak akses layanan aksesibilitas untuk mencapai akses penuh secara jarak jauh pada perangkat yang terinfeksi."

Beberapa target utama dari malware ini termasuk lembaga keuangan seperti Itaú Shop, Santander, dengan aplikasi palsu yang menyamar sebagai Bradesco Prime dan Correios Celular, di antara lainnya:

• Livelo Pontos (com.resgatelivelo.cash)
• Correios Recarga (com.correiosrecarga.android)
• Bradesco Prime (com.resgatelivelo.cash)
• Módulo de Segurança (com.viberotion1414.app)

Analisis kode sumber malware telah mengungkap bahwa Rocinante secara internal disebut oleh operator sebagai Pegasus (atau PegasusSpy). Penting untuk dicatat bahwa nama Pegasus tidak memiliki kaitan dengan spyware lintas platform yang dikembangkan oleh vendor pengawasan komersial NSO Group.

Namun demikian, Pegasus diperkirakan merupakan hasil karya aktor ancaman yang dijuluki DukeEugene, yang juga dikenal karena jenis malware serupa seperti ERMAC, BlackRock, Hook, dan Loot, menurut analisis terbaru oleh Silent Push.

ThreatFabric menyatakan bahwa ia telah mengidentifikasi bagian-bagian dari malware Rocinante yang dipengaruhi langsung oleh iterasi awal dari ERMAC, meskipun diyakini bahwa kebocoran kode sumber ERMAC pada tahun 2023 mungkin telah memainkan peran.

"Ini adalah kasus pertama di mana sebuah keluarga malware original mengambil kode dari kebocoran dan mengimplementasikan hanya sebagian dari kode tersebut," jelasnya. "Juga mungkin bahwa kedua versi ini merupakan cabang terpisah dari proyek awal yang sama."

Rocinante umumnya didistribusikan melalui situs pemancingan (phishing) yang bertujuan untuk memperdaya pengguna yang tidak curiga untuk menginstal aplikasi dropper palsu yang, setelah terinstal, meminta izin layanan aksesibilitas untuk merekam semua aktivitas pada perangkat yang terinfeksi, mencegat pesan SMS, dan menyajikan halaman login phising.

Malware ini juga menjalin kontak dengan server command-and-control (C2) untuk menunggu instruksi lebih lanjut mensimulasikan peristiwa sentuh dan gesek yang akan dieksekusi secara jarak jauh. Informasi pribadi yang dikumpulkan dieksfiltrasi ke sebuah bot Telegram.

"Bot tersebut mengekstrak PII berguna yang diperoleh menggunakan halaman login palsu yang menyamar sebagai bank-target. Kemudian informasi ini dipublikasikan, terformat, ke dalam obrolan yang dapat diakses oleh penjahat," ungkap ThreatFabric.

"Informasi ini sedikit berubah tergantung pada halaman login palsu mana yang digunakan untuk memperolehnya, dan mencakup informasi perangkat seperti model dan nomor telepon, nomor CPF, kata sandi, atau nomor akun."

Perkembangan ini terjadi bersamaan dengan pernyataan Symantec mengenai kampanye malware trojan perbankan lainnya yang mengeksploitasi domain secureserver[.]net untuk menargetkan wilayah berbahasa Spanyol dan Portugis.

"Serangan multistage ini dimulai dengan URL berbahaya yang mengarah ke arsip berisi file .hta yang terobfuscate," kata perusahaan yang dimiliki Broadcom tersebut.

"File ini memuat payload JavaScript yang melakukan berbagai pemeriksaan AntiVM dan AntiAV sebelum mengunduh payload akhir AutoIT. Payload ini dimuat menggunakan injeksi proses dengan tujuan mencuri informasi perbankan dan kredensial dari sistem korban serta mengekstraknya ke server C2."

Perkembangan ini juga mengikuti munculnya "extensionware-as-a-service" yang dipasarkan untuk dijual melalui versi terbaru dari Genesis Market, yang ditutup oleh penegak hukum pada awal 2023, yang dirancang untuk mencuri informasi sensitif dari pengguna di kawasan Latin Amerika (LATAM) menggunakan ekstensi web browser berbahaya yang disebarkan di Chrome Web Store.

Kegiatan ini, yang aktif sejak pertengahan 2023 dan menargetkan Meksiko dan negara-negara Latin American (LATAM) lainnya, telah dikaitkan dengan sekelompok kejahatan siber bernama Cybercartel, yang menawarkan jenis layanan ini kepada kelompok penjahat siber lainnya. Ekstensi tersebut kini tidak lagi tersedia untuk diunduh.

"Ekstensi Google Chrome yang berbahaya menyamar sebagai aplikasi yang sah, memperdaya pengguna untuk menginstalnya dari situs yang terkompromi atau melalui kampanye phishing," kata peneliti keamanan Ramses Vazquez dan Karla Gomez dari Tim Intelijen Ancaman Metabase Q Ocelot.

"Setelah ekstensi terinstal, ia menyuntikkan kode JavaScript ke dalam halaman web yang dikunjungi pengguna. Kode ini dapat mencegat dan memanipulasi konten halaman, serta menangkap data sensitif seperti kredensial login, informasi kartu kredit, dan input pengguna lainnya, tergantung pada kampanye spesifik dan jenis informasi yang menjadi target."