Rocinante
Rocinante es un malware tipo troyano recién identificado en Brasil, diseñado principalmente para fraudes bancarios. Utiliza servicios de accesibilidad para realizar registros de teclas, phishing y toma de control total del dispositivo (DTO), enfocándose en importantes instituciones bancarias brasileñas. El malware emplea una combinación de Firebase, HTTP, WebSocket y la API de Telegram para el control y comando, la exfiltración de datos y el acceso remoto. Rocinante se destaca por su capacidad para registrar la actividad del usuario, simular toques y gestos, y realizar transacciones fraudulentas, revelando una tendencia creciente de criminales cibernéticos en América Latina que adoptan técnicas avanzadas de otras familias de malware, como Ermac/Hook. A pesar de su estado emergente, Rocinante representa una amenaza significativa al comprometer datos financieros sensibles y mantener un control persistente sobre los dispositivos infectados.
Funcionamiento
Rocinante es un malware sofisticado dirigido principalmente a usuarios de bancos en Brasil, diseñado para realizar fraudes financieros a través de un conjunto de técnicas avanzadas. Su funcionamiento técnico se desglosa en varias etapas y componentes clave:
1. Distribución e Instalación
Rocinante se distribuye a través de sitios de phishing que engañan a los usuarios para que instalen aplicaciones maliciosas que se hacen pasar por actualizaciones de seguridad o aplicaciones bancarias. Una vez que el usuario descarga e instala la aplicación, esta solicita permisos de acceso a los servicios de accesibilidad, necesarios para su funcionamiento.
2. Comunicación con el Servidor de Comando y Control (C2)
Tras la instalación, Rocinante establece comunicación con varios servidores C2 para recibir comandos y enviar datos. Utiliza múltiples protocolos y servicios:
- Firebase Messaging: Se utiliza para registrar la instalación del malware en el dispositivo y obtener un token de instalación único.
- HTTP: Inicialmente, se usa para solicitar la actualización de la comunicación a WebSocket y para enviar el token de instalación a un servidor C2.
- WebSocket: Proporciona una comunicación bidireccional en tiempo real con el servidor C2. Es utilizado para enviar datos de keylogging y recibir comandos.
3. Registro de Actividades (Keylogging)
Una vez concedidos los permisos de accesibilidad, Rocinante comienza a registrar todas las acciones en la interfaz de usuario (UI) del dispositivo. Este registro incluye:
- Coordenadas y Descripción: Captura la posición, tamaño y contenido de los elementos de la UI.
- Datos de Interacción: Registra eventos como toques, clics y campos de texto, incluyendo contraseñas y otra información sensible.
- Envío de Datos: Los datos registrados son enviados a través del canal WebSocket al servidor C2 para su análisis y almacenamiento.
4. Phishing y Exfiltración de Datos
Rocinante implementa técnicas de phishing para recolectar información personal sensible de los usuarios. Las técnicas incluyen:
- Pantallas de Phishing: Muestra formularios falsos que imitan las páginas de inicio de sesión de bancos y otras instituciones financieras para recopilar credenciales y otra información personal.
- Telegram Bots: Utiliza bots en Telegram para recibir y organizar la información personal exfiltrada. Los datos recopilados se envían a estos bots y se presentan en chats accesibles para los criminales.
5. Toma de Control del Dispositivo (DTO)
Con los permisos de accesibilidad, Rocinante puede realizar una serie de acciones remotas en el dispositivo infectado:
- Simulación de Toques y Gestos: Permite emular toques y gestos en la pantalla, lo que facilita la navegación por la interfaz del dispositivo y la realización de transacciones fraudulentas.
- Modificación de Datos en Campos de Texto: Puede alterar el texto en los campos de entrada para modificar la información en las aplicaciones y realizar cambios en las transacciones.
6. Influencia y Evolución
Rocinante muestra una notable influencia del código de la familia de malware Ermac/Hook, adoptando parte de su funcionalidad para mejorar sus capacidades. Esta influencia incluye:
- Código de Captura de Pantalla: En versiones anteriores, Rocinante utilizaba técnicas heredadas de Ermac/Hook para tomar capturas de pantalla, aunque estas técnicas se han modificado en versiones más recientes.
- Objetivos Cambiados: Mientras que versiones anteriores atacaban criptomonedas, las versiones actuales se enfocan principalmente en la banca.
Impacto y consecuencias
Rocinante representa una amenaza significativa para los usuarios de servicios bancarios en Brasil debido a sus capacidades avanzadas y su enfoque en el robo de información financiera sensible. Su impacto y las consecuencias de su uso se pueden desglosar en varios aspectos clave:
**1. Riesgo Financiero para las Víctimas
a. Robo de Información Financiera: Rocinante es capaz de realizar keylogging detallado y capturar información sensible de los usuarios, como credenciales de inicio de sesión, números de cuenta y contraseñas. Esto permite a los atacantes realizar transacciones no autorizadas utilizando la información robada, potencialmente drenando las cuentas bancarias de las víctimas.
b. Phishing Efectivo: Mediante pantallas de phishing que imitan las páginas legítimas de bancos, Rocinante engaña a los usuarios para que ingresen su información personal y bancaria. Esto facilita el robo de datos críticos que los delincuentes utilizan para ejecutar fraudes financieros y transferencias ilegales.
**2. Compromiso de la Seguridad del Dispositivo
a. Toma de Control Completa: Rocinante emplea servicios de accesibilidad para tomar control total del dispositivo infectado. Esto incluye la capacidad de simular toques y gestos, modificar textos en campos de entrada, y navegar por la interfaz de usuario. Con esta capacidad, los atacantes pueden ejecutar acciones en el dispositivo sin el conocimiento del usuario, como la autorización de transacciones fraudulentas.
b. Persistencia y Control Remoto: El malware permite a los atacantes mantener un acceso persistente al dispositivo afectado. Esto les permite monitorear continuamente las actividades del usuario, modificar configuraciones y mantener el control sobre el dispositivo durante períodos prolongados, lo que aumenta el riesgo de un daño continuo y creciente.
**3. Impacto en la Confianza y Reputación
a. Daño a la Reputación Bancaria: Los bancos y otras instituciones financieras que son víctimas de ataques de Rocinante pueden enfrentar un daño significativo en su reputación. La exposición de datos financieros de clientes y la percepción de falta de seguridad pueden erosionar la confianza de los clientes y dañar la imagen de la marca.
b. Repercusiones Legales: Las instituciones afectadas pueden enfrentar repercusiones legales y regulatorias debido a la violación de datos. Esto incluye multas y sanciones por no proteger adecuadamente la información personal de los clientes, así como posibles demandas de los afectados.
**4. Consecuencias para la Infraestructura de Seguridad
a. Evolución de Técnicas de Ataque: Rocinante demuestra cómo los actores de amenazas están adoptando y adaptando técnicas de malware sofisticadas, como el uso de servicios de accesibilidad para el keylogging y el control remoto. La incorporación de código de malware como Ermac/Hook muestra una tendencia hacia la evolución y la adaptación en el panorama de amenazas, lo que exige una mejora constante en las defensas de seguridad.
b. Requerimiento de Respuesta y Mitigación: La presencia de Rocinante exige que las organizaciones de seguridad implementen medidas de respuesta y mitigación más robustas. Esto incluye la actualización de software de seguridad, la educación continua de los usuarios sobre las amenazas de phishing y el fortalecimiento de las políticas de seguridad para protegerse contra ataques similares en el futuro.
**5. Impacto en el Ecosistema de Malware
a. Influencia en Nuevas Amenazas: Rocinante, al incorporar elementos del código de Ermac/Hook y demostrar la capacidad de adaptación y evolución, puede influir en la creación de nuevas variantes y familias de malware. Esto podría dar lugar a nuevas amenazas que emulen o mejoren las técnicas utilizadas por Rocinante, ampliando el alcance y la sofisticación de los ataques cibernéticos en el futuro.
b. Incremento en la Actividad Criminal: La efectividad de Rocinante en la explotación de vulnerabilidades de dispositivos móviles y sistemas de banca en línea puede alentar a otros actores de amenazas a desarrollar y desplegar malware similar. Esto puede resultar en un aumento general en la actividad criminal dirigida a los usuarios de servicios financieros.
Origen y motivación
Rocinante es un malware originario de Brasil diseñado para atacar a instituciones bancarias locales con el objetivo de robar información financiera y personal de los usuarios. Su motivación radica en el aprovechamiento del creciente uso de servicios bancarios móviles en la región, facilitando transacciones ilícitas mediante técnicas avanzadas de keylogging, phishing y control remoto de dispositivos. Inspirado en el código de otras familias de malware como Ermac/Hook, Rocinante refleja una tendencia de adaptación y sofisticación en el ámbito de los ciberdelincuentes latinoamericanos, quienes buscan maximizar el impacto de sus ataques en el mercado financiero local.