Pesquisadores da empresa de cibersegurança ThreatFabric encontraram uma nova campanha maliciosa que tem como alvo usuários de dispositivos Android no Brasil. Ela envolve um trojan chamado Rocinante.
O trojan Rocinante tem a capacidade de recolher credenciais de usuários (login e senha) via keylogging na área de Serviço de Acessibilidade, phishing com páginas falsas e, como uma parte final do ataque, controle sobre o smartphone ou tablet infectado.
Trocando em miúdos, isso significa que o Rocinante entra no smartphone e envia as informações de botões pressionados no teclado aos cibercriminosos. Além disso, ele simula páginas falsas de bancos legítimos para usuários inserirem dados financeiros que forneçam acesso.
Entre as páginas falsas que simulam bancos, o malware utiliza a aparência das seguintes instituições:
Itaú Shop
Santander (e Módulo de Segurança)
Bradesco Prime
Correios Celular
Correios Recarga
Livelo Pontos
Banco do Brasil
Caixa Economica Federal
PicPay
Mercado Pago
Sicoob
PagSeguro
XP Investimentos
“Recentemente, conseguimos identificar uma nova cepa de malware, originária do Brasil, que corporiza essa nova onda de bankers, que chamamos de Rocinante”, comentaram os pesquisadores que adicionam:
“Essa família de malware é capaz de realizar keylogging usando o Serviço de Acessibilidade e também roubar os dados pessoais de suas vítimas usando telas de phishing que se passam por bancos diferentes. Ele pode usar todas essas informações exfiltradas para realizar o controle de dispositivo (DTO) e aproveitar os privilégios do Serviço de Acessibilidade para obter acesso remoto completo no dispositivo infectado”.
Fonte:-Techmundo
