Los usuarios de dispositivos móviles en Brasil son el objetivo de una nueva campaña de malware que distribuye un nuevo troyano bancario para Android llamado Rocinante. «Esta familia de malware es capaz de realizar keylogging utilizando el Servicio de Accesibilidad, y también es capaz de robar información de identificación personal de sus víctimas utilizando pantallas de phishing haciéndose pasar por diferentes bancos», dijo la empresa de seguridad holandesa ThreatFabric. «Por último, puede utilizar toda esta información exfiltrada para realizar la toma de control del dispositivo (DTO), aprovechando los privilegios del servicio de accesibilidad para lograr un acceso remoto completo al dispositivo infectado». Algunos de los objetivos destacados del malware incluyen instituciones financieras como Itaú Shop, Santander, con aplicaciones falsas que se hacen pasar por Bradesco Prime y Correios Celular, entre otras: Livelo Pontos (com.resgatelivelo.cash) Correios Recarga (com.correiosrecarga.android) Bratesco Prine (com.resgatelivelo.cash) Módulo de Segurança (com.viberotion1414.app) El análisis del código fuente del malware ha revelado que los operadores llaman internamente a Rocinante Pegasus (o PegasusSpy). Vale la pena señalar que el nombre Pegasus no tiene conexiones con un software espía multiplataforma desarrollado por el proveedor de vigilancia comercial NSO Group. Dicho esto, se evalúa que Pegasus es obra de un actor de amenazas llamado DukeEugene, que también es conocido por cepas de malware similares como ERMAC, BlackRock, Hook y Loot, según un análisis reciente de Silent Push. ThreatFabric afirmó haber identificado partes del malware Rocinante que están directamente influenciadas por las primeras iteraciones de ERMAC, aunque se cree que la filtración del código fuente de ERMAC en 2023 puede haber jugado un papel. «Este es el primer caso en el que una familia de malware original tomó el código de la filtración e implementó solo una parte de él en su código», señaló. «También es posible que estas dos versiones sean bifurcaciones separadas del mismo proyecto inicial». Rocinante se distribuye principalmente a través de sitios de phishing que tienen como objetivo engañar a los usuarios desprevenidos para que instalen las aplicaciones de descarga falsificadas que, una vez instaladas, solicitan privilegios de servicio de accesibilidad para registrar todas las actividades en el dispositivo infectado, interceptar mensajes SMS y mostrar páginas de inicio de sesión de phishing. También establece contacto con un servidor de comando y control (C2) para esperar más instrucciones, simulando eventos de toque y deslizamiento, para ser ejecutadas de forma remota. La información personal recopilada se filtra a un bot de Telegram. «El bot extrae la información de identificación personal útil obtenida mediante páginas de inicio de sesión falsas que se hacen pasar por los bancos de destino. Luego publica esta información, formateada, en un chat al que los delincuentes tienen acceso», señaló ThreatFabric. «La información cambia ligeramente según la página de inicio de sesión falsa que se haya utilizado para obtenerla, e incluye información del dispositivo, como el modelo y el número de teléfono, el número de CPF, la contraseña o el número de cuenta». El desarrollo se produce cuando Symantec destacó otra campaña de malware de troyanos bancarios que explota el servidor seguro.[.]El ataque multietapa comienza con URL maliciosas que conducen a un archivo que contiene un archivo .hta ofuscado», dijo la empresa propiedad de Broadcom. «Este archivo conduce a una carga útil de JavaScript que realiza múltiples comprobaciones de AntiVM y AntiAV antes de descargar la carga útil final de AutoIT. Esta carga útil se carga mediante inyección de procesos con el objetivo de robar información bancaria y credenciales del sistema de la víctima y exfiltrarlas a un servidor C2». También sigue la aparición de un nuevo «extensionware como servicio» que se anuncia para la venta a través de una nueva versión del Genesis Market, que fue cerrado por las fuerzas del orden a principios de 2023, y diseñado para robar información confidencial de los usuarios de la región de América Latina (LATAM) mediante extensiones de navegador web maliciosas propagadas en Chrome Web Store. La actividad, activa desde mediados de 2023 y dirigida a México y otras naciones de Latinoamérica, ha sido atribuida a un grupo de delitos electrónicos llamado Cybercartel, que ofrece este tipo de servicios a otros grupos de cibercriminales. Las extensiones ya no están disponibles para su descarga. «La extensión maliciosa de Google Chrome se disfraza de una aplicación legítima, engañando a los usuarios para que la instalen desde sitios web comprometidos o campañas de phishing», dijeron los investigadores de seguridad Ramses Vazquez de Karla Gomez del equipo de inteligencia de amenazas Metabase Q Ocelot. «Una vez que se instala la extensión, inyecta código JavaScript en las páginas web que visita el usuario. Este código puede interceptar y manipular el contenido de las páginas, así como capturar datos confidenciales como credenciales de inicio de sesión, información de tarjetas de crédito y otros datos ingresados ​​por el usuario, según la campaña específica y el tipo de información a la que se dirige». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.