Rocinante es un tipo de infección de troyano de acceso remoto (RAT) que se dirige a dispositivos Android. Es una infección muy grave que puede provocar pérdida de dinero, robo de identidad, robo de datos, etc. Parece estar dirigido principalmente a las instituciones bancarias de Brasil.
Los troyanos de acceso remoto (RAT) como Rocinante se clasifican como infecciones muy peligrosas. El Rocinante RAT se dirige principalmente a los usuarios de dispositivos Android en Brasil, específicamente a aquellos que utilizan ciertas aplicaciones bancarias. Además de los usuarios habituales, el troyano también puede utilizarse para dirigirse a personas y organizaciones de alto perfil.
Inmediatamente después de que el troyano Rocinante ingresa a un dispositivo, comienza a solicitar permisos. Esto es típico de la mayoría de los programas maliciosos de Android, al igual que solicitar permiso a los servicios de accesibilidad. Esta es una función legítima de Android que ayuda a los usuarios con ciertas discapacidades a usar sus dispositivos con más comodidad. Sin embargo, el malware suele abusar de esta función porque esencialmente le da acceso al malware a los dispositivos de los usuarios y a sus contenidos. Si el malware obtiene permiso para usar los Servicios de accesibilidad, puede leer pantallas, registrar pulsaciones de teclas, leer notificaciones y más.
El objetivo principal de este malware es suplantar las credenciales de inicio de sesión bancario de los usuarios. Cuando esté completamente configurado (tenga los permisos necesarios y la capacidad de usar los Servicios de accesibilidad), comenzará a mostrar pantallas falsas cada vez que los usuarios intenten abrir sus aplicaciones bancarias. Si los usuarios escriben sus credenciales de inicio de sesión en la pantalla falsa, las credenciales serían robadas, lo que permitiría a los actores maliciosos acceder a las cuentas bancarias. Rocinante también tiene una función de registro de teclas. Esto puede permitirle robar otras credenciales de inicio de sesión de cuentas confidenciales.
La infección por RAT Rocinante es muy grave. Una infección puede resultar en el robo y la pérdida permanente de datos, pérdidas financieras, problemas de privacidad e incluso robo de identidad. Es muy difícil notar este tipo de infecciones sin algún tipo de aplicación de seguridad en el dispositivo porque los troyanos suelen trabajar en segundo plano y permanecen fuera de la vista. Algunos síntomas pueden ser notables si los usuarios saben qué buscar. Por ejemplo, un dispositivo infectado comenzaría a retrasarse, las aplicaciones se bloquearían, el uso de la batería aumentaría, los usuarios podrían ser redirigidos aleatoriamente a sitios web cuestionables, etc. Sin embargo, incluso si es posible detectar un troyano, eliminarlo de un dispositivo Android debe dejarse en manos de un programa de seguridad profesional para evitar más daños.
¿Cómo entra el malware Rocinante (Android) en el dispositivo?
Como todo el malware de Android, el malware Rocinante se distribuye de varias maneras. En primer lugar, el malware Rocinante puede disfrazarse de una aplicación bancaria o de seguridad legítima. Estas aplicaciones disfrazadas se pueden encontrar en varias tiendas de aplicaciones de terceros y sitios de descarga cuestionables. Este es generalmente el método utilizado para dirigirse a los usuarios a gran escala.
Para objetivos específicos, los actores maliciosos suelen utilizar ataques de phishing e ingeniería social, como correos electrónicos y mensajes. Si los actores maliciosos se dirigen a alguien específico y tienen acceso a cierta información personal, los ataques de phishing/ingeniería social serían muy sofisticados y parecerían convincentes.
Y al igual que todo el malware, los usuarios también pueden encontrar Rocinante RAT cuando piratean, como cuando descargan cracks y contenido protegido por derechos de autor. El malware es muy frecuente en varias tiendas de aplicaciones de terceros y también en sitios de descarga dudosos.
Cómo protegerse del malware de Android
Hay varias formas en que los usuarios pueden proteger sus dispositivos Android del malware.
Investiga las aplicaciones antes de descargarlas
Todas las aplicaciones deben investigarse cuidadosamente antes de instalarlas. Los usuarios siempre deben verificar al desarrollador, leer reseñas, inspeccionar las solicitudes de permiso, etc.
Usar tiendas/plataformas legítimas para descargar aplicaciones
Se recomienda encarecidamente ceñirse a las tiendas de aplicaciones legítimas y oficiales, como Google Play Store. Las tiendas de aplicaciones de terceros suelen estar mal reguladas, lo que permite a los actores maliciosos subir aplicaciones maliciosas disfrazadas de legítimas. Google Play Store es el mejor lugar para descargar aplicaciones porque tiene varias medidas de seguridad para evitar el malware. Si bien el malware ocasional puede superar la seguridad de Google, ocurre muy raramente, especialmente en comparación con las tiendas de aplicaciones de terceros.
Revise siempre cuidadosamente los permisos solicitados
Una de las formas más efectivas de prevenir infecciones en un dispositivo Android es revisar cuidadosamente los permisos antes de dárselos a una aplicación. Cada vez que se instala una aplicación, solicita permisos para que pueda funcionar de la manera en que se supone que debe hacerlo. Sin embargo, los usuarios siempre deben ser muy escépticos al revisar los permisos. Por ejemplo, si los usuarios descargan un juego y solicita permiso para leer sus mensajes, hacer llamadas, etc., eso debería hacer sonar las alarmas.
Mantener el dispositivo actualizado
Es importante mantener todos los dispositivos actualizados e instalar las actualizaciones a medida que salgan. Las actualizaciones parchean vulnerabilidades conocidas, que podrían ser utilizadas por actores maliciosos, por lo que es esencial instalarlas.
No haga clic en enlaces desconocidos ni abra archivos adjuntos de correo electrónico no solicitados
Este consejo no solo se aplica a los usuarios de Android, sino a todos los usuarios, independientemente del tipo de dispositivo que utilicen. Los usuarios siempre deben tener mucho cuidado con los SMS, correos electrónicos, mensajes, etc. no solicitados, que tengan enlaces o archivos adjuntos. Los usuarios también deben tener en cuenta que las agencias gubernamentales (por ejemplo, las fuerzas del orden, las agencias fiscales), los bancos y otras instituciones nunca envían mensajes SMS o correos electrónicos con enlaces. Los usuarios deben evitar hacer clic en enlaces desconocidos en general y nunca abrir archivos adjuntos de correo electrónico no solicitados sin verificarlos primero (por ejemplo, escanearlos con un programa antivirus o VirusTotal ).