Rocinante je infekce typu trojského koně pro vzdálený přístup (RAT), která cílí na zařízení Android. Je to velmi závažná infekce, která může vést ke ztrátě peněz, krádeži identity, odcizení dat atd. Zdá se, že se zaměřuje především na bankovní instituce v Brazílii.
Trojské koně pro vzdálený přístup (RAT), jako je Rocinante, jsou klasifikovány jako velmi nebezpečné infekce. Rocinante RAT se zaměřuje hlavně na uživatele zařízení Android v Brazílii, konkrétně na ty, kteří používají určité bankovní aplikace. Kromě běžných uživatelů může být trojský kůň také použit k cílení na vysoce postavené jednotlivce a organizace.
Ihned poté, co trojský kůň Rocinante vstoupí do zařízení, začne žádat o oprávnění. To je typické pro většinu malwaru pro Android, stejně jako žádost o povolení ke službám usnadnění. Jedná se o legitimní funkci systému Android, která pomáhá uživatelům s určitým postižením používat jejich zařízení pohodlněji. Tato funkce je však často zneužívána malwarem, protože v podstatě poskytuje malwaru přístup k zařízením uživatelů a jejich obsahu. Pokud malware získá povolení k používání služeb přístupnosti, může číst obrazovky, zaznamenávat stisky kláves, číst oznámení a další.
Primárním cílem tohoto malwaru je phishing přihlašovacích údajů uživatelů do bankovnictví. Když je plně nastaven (má potřebná oprávnění a schopnost používat služby usnadnění), začne zobrazovat falešné obrazovky, kdykoli se uživatelé pokusí otevřít své bankovní aplikace. Pokud uživatelé zadají své přihlašovací údaje na falešné obrazovce, přihlašovací údaje budou odcizeny, což umožní škodlivým aktérům přístup k bankovním účtům. Rocinante má také funkci keyloggingu. To mu může umožnit ukrást další citlivé přihlašovací údaje k účtu.
Infekce Rocinante RAT je velmi závažná. Infekce může mít za následek odcizení a trvalou ztrátu dat, finanční ztrátu, problémy s ochranou soukromí a dokonce i krádež identity. Je velmi obtížné si všimnout těchto typů infekcí bez nějaké bezpečnostní aplikace v zařízení, protože trojské koně obvykle pracují na pozadí a zůstávají mimo dohled. Některé příznaky mohou být patrné, pokud uživatelé vědí, co hledat. Například infikované zařízení by se začalo zpožďovat, aplikace by se zhroutily, zvýšilo by se využití baterie, uživatelé by mohli být náhodně přesměrováni na pochybné webové stránky atd. I když je však možné si všimnout trojského koně, jeho odstranění ze zařízení Android by mělo být ponecháno na profesionálním bezpečnostním programu, aby nedošlo k dalšímu poškození.
Jak se malware Rocinante (Android) dostane do zařízení?
Stejně jako veškerý malware pro Android je i malware Rocinante distribuován několika způsoby. Za prvé, malware Rocinante lze maskovat jako legitimní bezpečnostní nebo bankovní aplikaci. Tyto maskované aplikace lze nalézt v různých obchodech s aplikacemi třetích stran a pochybných webech pro stahování. Toto je obecně metoda používaná k cílení na uživatele v masivním měřítku.
Pro konkrétní cíle aktéři se zlými úmysly obvykle používají phishingové útoky a útoky sociálního inženýrství, jako jsou e-maily a zprávy. Pokud se útočníci zaměří na někoho konkrétního a budou mít přístup k určitým osobním údajům, phishingové útoky / útoky sociálního inženýrství budou velmi sofistikované a budou vypadat přesvědčivě.
A stejně jako s veškerým malwarem se uživatelé mohou také setkat s Rocinante RAT při pirátství, například při stahování cracků a obsahu chráněného autorskými právy. Malware je velmi rozšířený v různých obchodech s aplikacemi třetích stran a také na pochybných stránkách pro stahování.
Jak se chránit před malwarem pro Android
Existuje několik způsobů, jak mohou uživatelé chránit svá zařízení Android před malwarem.
Před stažením si aplikace prozkoumejte
Všechny aplikace by měly být před instalací pečlivě prozkoumány. Uživatelé by měli vždy zkontrolovat vývojáře, přečíst si recenze, zkontrolovat žádosti o povolení atd.
Ke stahování aplikací používejte legitimní obchody/platformy
Důrazně se doporučuje držet se legitimních a oficiálních obchodů s aplikacemi, jako je Obchod Google Play. Obchody s aplikacemi třetích stran jsou často špatně regulovány, což umožňuje škodlivým aktérům nahrávat škodlivé aplikace maskované jako legitimní. Obchod Google Play je nejlepším místem pro stahování aplikací, protože má různá bezpečnostní opatření, která zabraňují malwaru. I když občasný malware může projít zabezpečením Google, stává se to velmi zřídka, zejména ve srovnání s obchody s aplikacemi třetích stran.
Vždy pečlivě zkontrolujte požadovaná oprávnění
Jedním z nejúčinnějších způsobů, jak zabránit infekcím na zařízení Android, je pečlivě zkontrolovat oprávnění před jejich udělením aplikaci. Kdykoli je aplikace nainstalována, požaduje oprávnění, aby mohla fungovat tak, jak má. Uživatelé by však měli být při kontrole oprávnění vždy velmi skeptičtí. Pokud si například uživatelé stáhnou hru a ta požaduje povolení ke čtení jejich zpráv, volání atd., mělo by to být alarmující.
Udržování zařízení v aktuálním stavu
Je důležité udržovat všechna zařízení aktuální a instalovat aktualizace, jakmile vyjdou. Aktualizace opravují známé zranitelnosti, které by mohly být zneužity škodlivými aktéry, takže je nezbytné je nainstalovat.
Neklikejte na neznámé odkazy a neotevírejte přílohy nevyžádaných e-mailů
Tato rada platí nejen pro uživatele Androidu, ale pro všechny uživatele bez ohledu na to, jaký druh zařízení používají. Uživatelé by měli být vždy velmi opatrní s nevyžádanými SMS, e-maily, zprávami atd., které obsahují odkazy nebo přílohy. Uživatelé by také měli mít na paměti, že vládní agentury (např. orgány činné v trestním řízení, daňové úřady), banky a další instituce nikdy neposílají SMS zprávy ani e-maily s odkazy. Uživatelé by se měli obecně vyvarovat klikání na neznámé odkazy a nikdy neotevírat nevyžádané přílohy e-mailů, aniž by je nejprve dvakrát zkontrolovali (např. je naskenovali pomocí antivirového programu nebo VirusTotal ).