Rocinante er en type infeksjon med ekstern tilgang trojan (RAT) som retter seg mot Android-enheter. Det er en veldig alvorlig infeksjon som kan føre til tap av penger, identitetstyveri, stjålne data osv. Det ser ut til først og fremst å være rettet mot bankinstitusjoner i Brasil.
Remote Access Trojans (RATs) som Rocinante er klassifisert som svært farlige infeksjoner. Rocinante RAT retter seg hovedsakelig mot brukere av Android-enheter i Brasil, spesielt de som bruker visse bankapplikasjoner. I tillegg til vanlige brukere, kan trojaneren også brukes til å målrette mot høyprofilerte enkeltpersoner og organisasjoner.
Umiddelbart etter at Rocinante-trojaneren kommer inn i en enhet, begynner den å be om tillatelser. Dette er typisk for de fleste Android-skadelige programvarer, og det samme gjelder å be om tillatelse til tilgjengelighetstjenester. Dette er en legitim Android-funksjon som hjelper brukere med visse funksjonshemminger til å bruke enhetene sine med mer bekvemmelighet. Imidlertid blir denne funksjonen ofte misbrukt av skadelig programvare fordi den i hovedsak gir skadelig programvare tilgang til brukernes enheter og deres innhold. Hvis skadelig programvare får tillatelse til å bruke tilgjengelighetstjenester, kan den lese skjermer, registrere tastetrykk, lese varsler og mer.
Hovedmålet med denne skadelige programvaren er å phishing brukernes påloggingsinformasjon for bank. Når den er ferdig konfigurert (har de nødvendige tillatelsene og muligheten til å bruke tilgjengelighetstjenester), vil den begynne å vise falske skjermer når brukere prøver å åpne bankappene sine. Hvis brukere skriver inn påloggingsinformasjonen sin på den falske skjermen, vil legitimasjonen bli stjålet, og dermed gi ondsinnede aktører tilgang til bankkontoene. Rocinante har også en keylogging-funksjon. Dette kan tillate den å stjele andre sensitive kontopåloggingsopplysninger.
Rocinante RAT-infeksjonen er svært alvorlig. En infeksjon kan føre til stjålne og permanent tapte data, økonomisk tap, personvernproblemer og til og med identitetstyveri. Det er veldig vanskelig å legge merke til denne typen infeksjoner uten en slags sikkerhetsapp på enheten fordi trojanere vanligvis jobber i bakgrunnen og holder seg ute av syne. Noen symptomer kan merkes hvis brukerne vet hva de skal se etter. For eksempel vil en infisert enhet begynne å henge, apper vil krasje, batteribruken vil øke, brukere kan bli tilfeldig omdirigert til tvilsomme nettsteder osv. Men selv om det er mulig å legge merke til en trojaner, bør fjerning av den fra en Android-enhet overlates til et profesjonelt sikkerhetsprogram for å unngå mer skade.
Hvordan kommer Rocinante malware (Android) inn i enheten?
Som all Android-skadelig programvare, distribueres Rocinante-skadelig programvare på flere måter. Først av alt kan Rocinante malware være forkledd som en legitim sikkerhets- eller bankapp. Disse forkledde appene finner du i forskjellige tredjeparts appbutikker og tvilsomme nedlastingssider. Dette er vanligvis metoden som brukes for å målrette brukere i massiv skala.
For spesifikke mål bruker ondsinnede aktører vanligvis phishing og sosial manipulering, som e-post og meldinger. Hvis ondsinnede aktører retter seg mot noen spesifikke og har tilgang til visse personlige opplysninger, vil phishing/social engineering-angrepene være svært sofistikerte og se overbevisende ut.
Og akkurat som all skadelig programvare, kan brukere også støte på Rocinante RAT når de piratkopierer, for eksempel når de laster ned sprekker og opphavsrettsbeskyttet innhold. Skadelig programvare er også svært utbredt i forskjellige tredjeparts appbutikker og tvilsomme nedlastingssider.
Slik beskytter du deg mot skadelig programvare for Android
Det er flere måter brukere kan beskytte Android-enhetene sine mot skadelig programvare.
Undersøk apper før du laster ned
Alle apper bør undersøkes nøye før de installeres. Brukere bør alltid sjekke utvikleren, lese anmeldelser, inspisere tillatelsesforespørsler osv.
Bruk legitime butikker/plattformer for å laste ned apper
Det anbefales på det sterkeste å holde seg til legitime og offisielle appbutikker som Google Play Store. Tredjeparts appbutikker er ofte dårlig regulert, noe som gjør at ondsinnede aktører kan laste opp ondsinnede apper forkledd som legitime. Google Play Store er det beste stedet å laste ned apper fra fordi den har ulike sikkerhetstiltak for å forhindre skadelig programvare. Selv om sporadisk skadelig programvare kan komme forbi Googles sikkerhet, skjer det svært sjelden, spesielt sammenlignet med tredjeparts appbutikker.
Gå alltid nøye gjennom forespurte tillatelser
En av de mest effektive måtene å forhindre infeksjoner på en Android-enhet er å nøye gjennomgå tillatelser før du gir dem til en app. Når en app er installert, ber den om tillatelser slik at den kan fungere slik den skal. Brukere bør imidlertid alltid være svært skeptiske når de gjennomgår tillatelser. For eksempel, hvis brukere laster ned et spill og det ber om tillatelse til å lese meldingene deres, ringe osv., bør det ringe alarmklokker.
Hold enheten oppdatert
Det er viktig å holde alle enheter oppdatert og installere oppdateringer etter hvert som de kommer ut. Oppdateringer kjente sårbarheter, som kan brukes av ondsinnede aktører, så det er viktig å installere dem.
Ikke klikk på ukjente lenker eller åpne uønskede e-postvedlegg
Dette rådet gjelder ikke bare for Android-brukere, men for alle brukere, uansett hva slags enhet de bruker. Brukere bør alltid være veldig forsiktige med uønskede SMS, e-poster, meldinger osv., som har lenker eller vedlegg. Brukere bør også huske på at offentlige etater (f.eks. rettshåndhevelse, skatteetater), banker og andre institusjoner aldri sender SMS-meldinger eller e-poster med lenker i. Brukere bør unngå å klikke på ukjente lenker generelt og aldri åpne uønskede e-postvedlegg uten å dobbeltsjekke dem først (f.eks. skanne dem med et antivirusprogram eller VirusTotal ).