En Brasil, los usuarios de dispositivos móviles son el blanco de una nueva campaña de malware que distribuye un nuevo troyano bancario de Android llamado Rocinante.
ThreatFabric, una empresa de seguridad holandesa, señaló que esta familia de software malicioso puede registrar las pulsaciones de teclas y robar información personal identificable (PII) a través de pantallas de phishing que simulan ser de diferentes bancos. Además, puede tomar el control del dispositivo infectado aprovechando los privilegios del servicio de accesibilidad.
Los objetivos prominentes del malware abarcan instituciones financieras como Itaú Shop, Santander, entre otros. Algunas de las aplicaciones falsas utilizadas incluyen Livelo Pontos, Correios Recarga, Bradesco Prime y Módulo de Seguridad.
Internamente, el código fuente del malware revela que Rocinante se denomina a sí mismo como Pegasus (o PegasusSpy). Según ThreatFabric, Pegasus es obra de un actor de amenazas apodado DukeEugene, conocido por cepas de malware similares como ERMAC, BlackRock, Hook y Loot.
Se cree que el malware se distribuye principalmente a través de sitios de phishing que buscan engañar a usuarios desprevenidos para instalar aplicaciones falsas que, una vez instaladas, solicitan privilegios de servicio de accesibilidad. También se comunica con un servidor de comando y control (C2) para recibir instrucciones adicionales y enviar la información personal recabada a través de un bot de Telegram.
Esta actividad ocurre en paralelo a otra campaña de malware que explota un dominio secureserver[.]net para atacar regiones de habla hispana y portuguesa, así como al desarrollo de un «extensionware-as-a-service» atribuido a un grupo de ciberdelincuentes llamado Cybercartel que ha estado activo desde mediados de 2023.
En resumen, los usuarios de dispositivos móviles en Brasil deben estar alerta ante la amenaza de malware Rocinante que se distribuye a través de sitios de phishing y aplicaciones falsas. Estas actividades maliciosas representan un riesgo significativo para la seguridad y la privacidad de los usuarios.
Vía The Hacker News
