Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El troyano Rocinante se hace pasar por aplicaciones bancarias para robar datos confidenciales de usuarios brasileños de Android
  • Tecnología

El troyano Rocinante se hace pasar por aplicaciones bancarias para robar datos confidenciales de usuarios brasileños de Android

teknomers 3 de Eylül de 2024 (Last updated: 3 de Eylül de 2024) 5 minutes read
El troyano Rocinante se hace pasar por aplicaciones bancarias para


Los usuarios de dispositivos móviles en Brasil son el objetivo de una nueva campaña de malware que distribuye un nuevo troyano bancario para Android llamado Rocinante.

“Esta familia de malware es capaz de realizar registros de teclas mediante el Servicio de Accesibilidad y también puede robar información de identificación personal de sus víctimas mediante pantallas de phishing que se hacen pasar por diferentes bancos”, dijo la empresa de seguridad holandesa ThreatFabric dicho.

“Por último, puede utilizar toda esta información exfiltrada para realizar la toma de control del dispositivo (DTO), aprovechando los privilegios del servicio de accesibilidad para lograr acceso remoto completo al dispositivo infectado”.

Ciberseguridad

Algunos de los objetivos más destacados del malware incluyen instituciones financieras como Itaú Shop, Santander, con aplicaciones falsas que se hacen pasar por Bradesco Prime y Correios Celular, entre otras.

  • Livelo Pontos (com.resgatelivelo.cash)
  • Correios Recarga (com.correiosrecarga.android)
  • Bratesco Prine (com.resgatelivelo.cash)
  • Módulo de Seguridad (com.viberotion1414.app)

El análisis del código fuente del malware ha revelado que los operadores llaman internamente a Rocinante Pegasus (o PegasusSpy). Cabe señalar que el nombre Pegasus no tiene relación con un software espía multiplataforma desarrollado por el proveedor de vigilancia comercial NSO Group.

Dicho esto, se considera que Pegasus es obra de un actor de amenazas denominado DukeEugene, que también es conocido por cepas de malware similares como ERMAC, BlackRock, Hook y Loot, según un análisis reciente de Silent Push.

ThreatFabric dijo que identificó partes del malware Rocinante que están directamente influenciadas por las primeras iteraciones de ERMAC, aunque se cree que la filtración del código fuente de ERMAC en 2023 puede haber jugado un papel.

“Este es el primer caso en el que una familia de malware original tomó el código de la filtración e implementó solo una parte de él en su código”, señaló. “También es posible que estas dos versiones sean bifurcaciones separadas del mismo proyecto inicial”.

Rocinante se distribuye principalmente a través de sitios de phishing que tienen como objetivo engañar a usuarios desprevenidos para que instalen aplicaciones falsificadas que, una vez instaladas, solicitan privilegios de servicio de accesibilidad para registrar todas las actividades en el dispositivo infectado, interceptar mensajes SMS y mostrar páginas de inicio de sesión de phishing.

También establece contacto con un servidor de comando y control (C2) para esperar más instrucciones (que simulan toques y deslizamientos) que se ejecutarán de forma remota. La información personal recopilada se filtra a un bot de Telegram.

“El robot extrae la información de identificación personal útil obtenida mediante páginas de inicio de sesión falsas que se hacen pasar por los bancos de destino. Luego publica esta información, formateada, en un chat al que los delincuentes tienen acceso”, señaló ThreatFabric.

“La información cambia ligeramente según qué página de inicio de sesión falsa se haya utilizado para obtenerla e incluye información del dispositivo, como modelo y número de teléfono, número de CPF, contraseña o número de cuenta”.

El desarrollo se produce luego de que Symantec destacó otra campaña de malware troyano bancario que explota el servidor seguro.[.]Dominio net para orientarse a regiones de habla hispana y portuguesa.

“El ataque de múltiples etapas comienza con URL maliciosas que conducen a un archivo que contiene un archivo .hta ofuscado”, dijo la empresa propiedad de Broadcom. dicho.

“Este archivo lleva a una carga útil de JavaScript que realiza múltiples comprobaciones de AntiVM y AntiAV antes de descargar la carga útil final de AutoIT. Esta carga útil se carga mediante inyección de procesos con el objetivo de robar información bancaria y credenciales del sistema de la víctima y exfiltrarlas a un servidor C2”.

También sigue la aparición de un nuevo “extensionware como servicio” que se anuncia para su venta a través de una nueva versión de Genesis Market, que fue cerrado por las fuerzas del orden a principios de 2023 y diseñado para robar información confidencial de los usuarios de la región de América Latina (LATAM) utilizando extensiones de navegador web maliciosas propagadas en Chrome Web Store.

Ciberseguridad

La actividad, activa desde mediados de 2023 y dirigida a México y otras naciones de Latinoamérica, ha sido atribuida a un grupo de delitos electrónicos llamado Cybercartel, que ofrece este tipo de servicios a otros grupos de cibercriminales. Las extensiones ya no están disponibles para su descarga.

“La extensión maliciosa de Google Chrome se disfraza como una aplicación legítima, engañando a los usuarios para que la instalen desde sitios web comprometidos o campañas de phishing”, dijeron los investigadores de seguridad Ramsés Vázquez y Karla Gómez del equipo de inteligencia de amenazas Metabase Q Ocelot. dicho.

“Una vez instalada la extensión, inyecta código JavaScript en las páginas web que visita el usuario. Este código puede interceptar y manipular el contenido de las páginas, así como capturar datos confidenciales como credenciales de inicio de sesión, información de tarjetas de crédito y otros datos ingresados ​​por el usuario, según la campaña específica y el tipo de información a la que se dirige”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: En Noruega se teme una bomba antidopaje
Next: Totalenergies invierte 444 millones de dólares en una empresa conjunta solar india

Related Stories

Samsung Galaxy Z Fold 8 y Fold 8 Ultra: se
  • Tecnología

Samsung Galaxy Z Fold 8 y Fold 8 Ultra: se filtran las especificaciones completas

teknomers 16 de Temmuz de 2026
Uber construye un imperio de la entrega de comida al
  • Tecnología

Uber construye un imperio de la entrega de comida al adquirir a precio de oro un gran rival europeo

teknomers 16 de Temmuz de 2026
Tres técnicas que permiten dejar un EDR completamente ciego en
  • Tecnología

Tres técnicas que permiten dejar un EDR completamente ciego en Windows detectadas, los expertos lanzan la alerta

teknomers 16 de Temmuz de 2026

You May Have Missed

España-Argentina: Donald Trump asistirá a la final de la Copa
  • Deporte

España-Argentina: Donald Trump asistirá a la final de la Copa del Mundo el domingo, a diferencia de Javier Milei.

teknomers 16 de Temmuz de 2026
  • General

Michael Douglas: Frase del día de Michael Douglas: ‘El cáncer no me derribó, sino…’ Lecciones de vida de una cita motivacional sobre dificultades, éxito, resiliencia, comportamiento humano, adversidad y aprecio.

teknomers 16 de Temmuz de 2026
  • Deporte

De Gareth Southgate a Thomas Tuchel – ¿ha cambiado algo para Inglaterra?

teknomers 16 de Temmuz de 2026
  • Cultura

Una exministra de Deportes al frente de la Accor Arena: « Presentaré en la rentrée un plan estratégico para 2030 »

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.