Rocinante er en infektionstype med fjernadgang til trojan (RAT), der er rettet mod Android-enheder. Det er en meget alvorlig infektion, der kan føre til tab af penge, identitetstyveri, stjålne data osv. Det ser ud til primært at være rettet mod bankinstitutioner i Brasilien.
Remote Access Trojans (RAT’er) som Rocinante er klassificeret som meget farlige infektioner. Rocinante RAT er hovedsageligt rettet mod brugere af Android-enheder i Brasilien, specifikt dem, der bruger visse bankapplikationer. Ud over almindelige brugere kan trojaneren også bruges til at målrette mod højt profilerede personer og organisationer.
Umiddelbart efter at Rocinante-trojaneren er kommet ind i en enhed, begynder den at anmode om tilladelser. Dette er typisk for de fleste Android-malware, ligesom det er at anmode om tilladelse til tilgængelighedstjenester. Dette er en legitim Android-funktion, der hjælper brugere med visse handicap med at bruge deres enheder med mere bekvemmelighed. Denne funktion misbruges dog ofte af malware, fordi den i det væsentlige giver malware adgang til brugernes enheder og deres indhold. Hvis malware får tilladelse til at bruge Tilgængelighedstjenester, kan den læse skærme, optage tastetryk, læse notifikationer m.m.
Det primære mål med denne malware er at phishere brugernes bankloginoplysninger. Når den er fuldt konfigureret (har de nødvendige tilladelser og mulighed for at bruge tilgængelighedstjenester), begynder den at vise falske skærme, når brugere forsøger at åbne deres bankapps. Hvis brugere indtaster deres loginoplysninger på den falske skærm, vil legitimationsoplysningerne blive stjålet, hvilket giver ondsindede aktører adgang til bankkontiene. Rocinante har også en keylogging-funktion. Dette kan give den mulighed for at stjæle andre følsomme kontologinoplysninger.
Rocinante RAT-infektionen er meget alvorlig. En infektion kan resultere i stjålne og permanent tabte data, økonomisk tab, privatlivsproblemer og endda identitetstyveri. Det er meget svært at bemærke disse typer infektioner uden en form for sikkerhedsapp på enheden, fordi trojanske heste typisk arbejder i baggrunden og forbliver ude af syne. Nogle symptomer kan være mærkbare, hvis brugerne ved, hvad de skal kigge efter. For eksempel vil en inficeret enhed begynde at halte, apps vil gå ned, batteriforbruget vil stige, brugere kan blive tilfældigt omdirigeret til tvivlsomme websteder osv. Men selvom det er muligt at bemærke en trojaner, bør det overlades til et professionelt sikkerhedsprogram at fjerne den fra en Android-enhed for at undgå mere skade.
Hvordan kommer Rocinante malware (Android) ind i enheden?
Som al Android-malware distribueres Rocinante-malwaren på flere måder. Først og fremmest kan Rocinante malware være forklædt som en legitim sikkerheds- eller bankapp. Disse forklædte apps kan findes i forskellige tredjeparts app-butikker og tvivlsomme downloadsider. Dette er generelt den metode, der bruges til at målrette brugere i massiv skala.
For specifikke mål bruger ondsindede aktører normalt phishing og social engineering-angreb, såsom e-mails og beskeder. Hvis ondsindede aktører går efter en bestemt person og har adgang til visse personlige oplysninger, vil phishing/social engineering-angrebene være meget sofistikerede og se overbevisende ud.
Og ligesom al malware kan brugere også støde på Rocinante RAT, når de piratkopierer, såsom når de downloader revner og ophavsretligt beskyttet indhold. Malware er også meget udbredt i forskellige tredjeparts app-butikker og tvivlsomme downloadsider.
Sådan beskytter du dig mod Android-malware
Der er flere måder, hvorpå brugere kan beskytte deres Android-enheder mod malware.
Undersøg apps, før du downloader
Alle apps bør undersøges omhyggeligt, før de installeres. Brugere bør altid tjekke udvikleren, læse anmeldelser, inspicere tilladelsesanmodninger osv.
Brug legitime butikker/platforme til at downloade apps
Det anbefales kraftigt at holde sig til legitime og officielle app-butikker som Google Play Butik. Tredjeparts app-butikker er ofte dårligt reguleret, hvilket giver ondsindede aktører mulighed for at uploade ondsindede apps forklædt som legitime. Google Play Butik er det bedste sted at downloade apps fra, fordi den har forskellige sikkerhedsforanstaltninger til at forhindre malware. Mens lejlighedsvis malware kan komme forbi Googles sikkerhed, sker det meget sjældent, især sammenlignet med tredjeparts app-butikker.
Gennemgå altid omhyggeligt de ønskede tilladelser
En af de mest effektive måder at forhindre infektioner på en Android-enhed er omhyggeligt at gennemgå tilladelser, før du giver dem til en app. Når en app er installeret, anmoder den om tilladelser, så den kan fungere, som den skal. Brugere bør dog altid være meget skeptiske, når de gennemgår tilladelser. For eksempel, hvis brugere downloader et spil, og det anmoder om tilladelse til at læse deres beskeder, foretage opkald osv., bør det ringe alarmklokker.
Hold enheden opdateret
Det er vigtigt at holde alle enheder opdateret og installere opdateringer, efterhånden som de udkommer. Opdateringer retter kendte sårbarheder, som kan bruges af ondsindede aktører, så det er vigtigt at installere dem.
Klik ikke på ukendte links eller åbn uopfordrede vedhæftede filer i e-mails
Dette råd gælder ikke kun for Android-brugere, men for alle brugere, uanset hvilken slags enhed de bruger. Brugere bør altid være meget forsigtige med uopfordrede SMS’er, e-mails, beskeder osv., der har links eller vedhæftede filer. Brugere skal også huske på, at offentlige myndigheder (f.eks. retshåndhævende myndigheder, skattemyndigheder), banker og andre institutioner aldrig sender SMS-beskeder eller e-mails med links i. Brugere bør undgå at klikke på ukendte links generelt og aldrig åbne uopfordrede vedhæftede filer i e-mails uden at dobbelttjekke dem først (f.eks. scanne dem med et antivirusprogram eller VirusTotal ).