Android používateľov terorizuje nový bankový trojský kôň Rocinante

V online priestore začal vyčíňať zákerný malvér Rocinante, ktorý si brúsi zuby na najobľúbenejšie banky.

adver v smartfone virus skodlivy softver
Zdroj: Aaban / Shutterstock.com

Bezpečnostní experti z Threat Fabric odhalili nový druh malvéru, ktorý sa začal objavovať v online priestore. Analytici ho nazvali Rocinante a ide o zákerný typ trójskeho koňa.  

Čo sa malvéru Rocinante týka, bezpečnostní analytici ho opisujú ako “novú vlnu bankových trójskych koňov”. Rocinante prichádza v niekoľkých verziách, pričom dokáže monitorovať stlačenia klávesnice, zneužíva nastavenia dostupnosti a ako to býva pri bankových trojanoch zvykom, používa overlay útok na to, aby užívateľom ukázal podvodnú stránku, ktorá vyzerá ako obrazovka skutočnej bankovej aplikácie. Cez ňu následne získa prihlasovacie údaje.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

O zariadení obete malvér Rocinante zbiera aj množstvo ďalších informácií. Následne všetky získané údaje využíva na to, aby ovládol zariadenie obete. Nastavenia dostupnosti zneužíva malvér spôsobom, ktorý hackerovi dovoľuje ovládať kompletne celé zariadenie na diaľku.  

Hoci sa malvér volá Rocinante, zo súborov dokázali vyčítať, že hackeri označujú interne malvér ako Pegasus alebo PegasusSpy.  

“Prisvojiť si toto meno by bolo veľmi mätúce, pretože už existuje mimoriadne nebezpečný spyware s menom Pegasus, ktorý sa radí k jedným z “legálne” vytvorených spywarov a používal sa na sledovanie novinárov, právnikov, politických disidentov alebo aktivistov za ľudské práva,” vysvetľujú bezpečnostní experti.

titulka spyware
Zdroj: Pixabay.com, Unsplash (Alexander Krivitskiy), Úprava: Vosveteit.sk

Zmätok v názve malvéru

Nový malvér Rocinante ale nemá žiadne väzby na tento existujúci špionážny malvér. Bezpečnostní analytici poukazujú aj na to, že hoci Rocinante nejakým spôsobom užívateľov sleduje, jeho špionážne schopnosti sú v porovnaní so spywarom Pegasus veľmi chabé. Rocinante útočí na bankové inštitúcie a z metódy útoku je jasné, že útočníkom ide hlavne o finančný zisk, na rozdiel od aktérov, ktorí siahli po spyware Pegasus.  

“Meno Rocinante sme vybrali podľa mena koňa, na ktorom jazdila známa postava Don Quixote. Rovnako ako Don Quixote, aj malvér Rocinante sa snaží byť niečím, čo nie je, v tomto prípade mytologickým okrídleným koňom,” hovoria bezpečnostní experti.  

Rocinante spadá viac menej ku všetkým ostatným bankovým trójskym koňom, ktoré bezpečnostní experti analyzovali za posledných pár rokov. Vo väčšine prípadov bankový malvér získava z C2 serverov útočníkov zoznam svojich cieľov. To podľa odborníkov dáva zlodejom o niečo viac flexibility.  

Takýto spôsob útoku totiž dovoľuje kyberzločincom použiť rovnaký malvér na odlišné ciele a s rozdielnym dôvodom. V prípade potreby dokážu zločinci dočasne zastaviť kampaň tým, že vypnú svoj C2 server.  

Rocinante môže byť v budúcnosti zákernejší

V prípade bankového malvéru Rocinante výskumníci zistili, že útočí na bankové inštitúcie, ktoré majú na cielenom trhu najväčší podiel. Znamená to, že týmto spôsobom môžu zasiahnuť čo najviac potenciálnych obetí. Všetko sa začína stiahnutím a inštaláciou podvodnej aplikácie. Po jej prvom spustení si vyžiada prístup k nastaveniam dostupnosti. Následne užívateľ vidí obrazovku s niekoľkými možnosťami.  

Každá z uvedených možností užívateľa dostane na odlišnú phishingovú stránku. Tá si žiada prihlasovacie údaje do bankového účtu. Popri bankovom podvode sa zároveň spúšťa aj takzvaný keylogger, teda nástroj na zaznamenávanie stlačení klávesnice. Popri tom malvér Rocinante informuje kyberzločincov o všetkom, čo obeť útoku vidí na obrazovke.  

faketoken-trojsky kon
Zdroj: Vosveteit.sk, dall·E

Dokopy tak môžu hackeri zaznamenať akúkoľvek akciu alebo informáciu, ktorá sa objaví alebo udeje na zariadení obete. Najcennejšie sú však informácie, ktoré získa cez phishing, teda prihlasovacie údaje do bankovej aplikácie. Každá vzorka malvéru sa zároveň spája s Telegram botom, ktorého úlohou je dostávať informácie z napadnutého zariadenia.  

Keď sa botovi podarí dostať sa k užitočným prihlasovacím údajom, získané dáta naformátuje do zrozumiteľnejšieho štýlu a pošle ich do četu, ku ktorému majú hackeri prístup. Bezpečnostní experti zároveň poznamenávajú, že Rocinante má relatívne malý zoznam funkcií a je viac než pravdepodobné, že sa na malvéri stále pracuje. Môžeme teda očakávať, že budúce verzie budú ešte nebezpečnejšie.  

Experti na bezpečnosť objavili vzorky tohto trojana v aplikáciách nižšie.

skodlive aplikace ktore siria trojskeho kona
Zdroj: threatfabric.com

Záverom treba ale povedať, že nie je vylúčené, že sa nachádza aj v iných aplikáciách.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre