Rocinante je typ infekcie trójskeho koňa so vzdialeným prístupom (RAT), ktorý sa zameriava na zariadenia so systémom Android. Ide o veľmi vážnu infekciu, ktorá môže viesť k strate peňazí, krádeži identity, odcudzeniu údajov atď. Zdá sa, že sa primárne zameriava na bankové inštitúcie v Brazílii.
Trójske kone so vzdialeným prístupom (RAT) ako Rocinante sú klasifikované ako veľmi nebezpečné infekcie. Rocinante RAT sa zameriava hlavne na používateľov zariadení so systémom Android v Brazílii, konkrétne na tých, ktorí používajú určité bankové aplikácie. Okrem bežných používateľov môže byť trójsky kôň použitý aj na zacielenie na významných jednotlivcov a organizácie.
Ihneď po vstupe trójskeho koňa Rocinante do zariadenia začne požadovať povolenia. To je typické pre väčšinu malvéru pre Android, rovnako ako žiadosť o povolenie pre služby prístupnosti. Toto je legitímna funkcia systému Android, ktorá pomáha používateľom s určitým postihnutím pohodlnejšie používať svoje zariadenia. Táto funkcia je však často zneužívaná malvérom, pretože v podstate poskytuje malvéru prístup k zariadeniam používateľov a ich obsahu. Ak malvér získa povolenie na používanie služieb zjednodušenia ovládania, môže čítať obrazovky, zaznamenávať stlačenia klávesov, čítať upozornenia a vykonávať ďalšie činnosti.
Primárnym cieľom tohto malvéru je phishing bankových prihlasovacích údajov používateľov. Keď je plne nastavený (má potrebné povolenia a možnosť používať služby prístupnosti), začne zobrazovať falošné obrazovky vždy, keď sa používatelia pokúsia otvoriť svoje bankové aplikácie. Ak používatelia zadajú svoje prihlasovacie údaje na falošnú obrazovku, prihlasovacie údaje budú ukradnuté, čím sa zlomyseľným aktérom umožní prístup k bankovým účtom. Rocinante má tiež funkciu keylogingu. To mu môže umožniť ukradnúť ďalšie citlivé prihlasovacie údaje k účtu.
Infekcia Rocinante RAT je veľmi závažná. Infekcia môže mať za následok krádež a trvalú stratu údajov, finančnú stratu, problémy so súkromím a dokonca aj krádež identity. Je veľmi ťažké si všimnúť tieto typy infekcií bez nejakej bezpečnostnej aplikácie v zariadení, pretože trójske kone zvyčajne pracujú na pozadí a zostávajú mimo dohľadu. Niektoré príznaky môžu byť viditeľné, ak používatelia vedia, čo majú hľadať. Napríklad infikované zariadenie by začalo zaostávať, aplikácie by zlyhali, zvýšila by sa spotreba batérie, používatelia by mohli byť náhodne presmerovaní na pochybné webové stránky atď. Aj keď je však možné všimnúť si trójskeho koňa, jeho odstránenie zo zariadenia so systémom Android by malo byť ponechané na profesionálny bezpečnostný program, aby sa predišlo ďalšiemu poškodeniu.
Ako sa malvér Rocinante (Android) dostane do zariadenia?
Rovnako ako všetok malvér pre Android, aj malvér Rocinante je distribuovaný niekoľkými spôsobmi. V prvom rade môže byť malvér Rocinante maskovaný ako legitímna bezpečnostná alebo banková aplikácia. Tieto skryté aplikácie nájdete v rôznych obchodoch s aplikáciami tretích strán a na pochybných stránkach na stiahnutie. Vo všeobecnosti ide o metódu používanú na masívne zacielenie na používateľov.
Pre konkrétne ciele škodliví aktéri zvyčajne používajú phishingové útoky a útoky sociálneho inžinierstva, ako sú e-maily a správy. Ak sa zlomyseľní aktéri zamerajú na niekoho konkrétneho a majú prístup k určitým osobným údajom, phishingové/sociálno-inžinierske útoky by boli veľmi sofistikované a vyzerali presvedčivo.
A rovnako ako všetok malvér, aj používatelia sa môžu stretnúť s Rocinante RAT pri pirátstve, napríklad pri sťahovaní crackov a obsahu chráneného autorskými právami. Malvér je veľmi rozšírený v rôznych obchodoch s aplikáciami tretích strán a tiež na pochybných stránkach na stiahnutie.
Ako sa chrániť pred malvérom pre Android
Existuje niekoľko spôsobov, ako môžu používatelia chrániť svoje zariadenia Android pred škodlivým softvérom.
Preskúmajte aplikácie pred stiahnutím
Všetky aplikácie by ste si mali pred inštaláciou dôkladne preštudovať. Používatelia by mali vždy skontrolovať vývojára, prečítať si recenzie, skontrolovať žiadosti o povolenie atď.
Používanie legitímnych obchodov/platforiem na sťahovanie aplikácií
Dôrazne sa odporúča držať sa legitímnych a oficiálnych obchodov s aplikáciami, ako je Obchod Google Play. Obchody s aplikáciami tretích strán sú často zle regulované, čo umožňuje zlomyseľným aktérom nahrávať škodlivé aplikácie maskované ako legitímne. Obchod Google Play je najlepším miestom na sťahovanie aplikácií, pretože má rôzne bezpečnostné opatrenia na prevenciu škodlivého softvéru. Aj keď príležitostný malvér môže prekonať bezpečnosť Google, stáva sa to veľmi zriedkavo, najmä v porovnaní s obchodmi s aplikáciami tretích strán.
Vždy pozorne skontrolujte požadované povolenia
Jedným z najúčinnejších spôsobov, ako zabrániť infekciám v zariadení so systémom Android, je dôkladná kontrola povolení pred ich udelením aplikácii. Vždy, keď je aplikácia nainštalovaná, požiada o povolenia, aby mohla fungovať tak, ako má. Používatelia by však mali byť pri kontrole povolení vždy veľmi skeptickí. Napríklad, ak si používatelia stiahnu hru a tá požiada o povolenie čítať ich správy, uskutočňovať hovory atď., malo by to zvoniť na poplach.
Udržujte zariadenie v aktuálnom stave
Je dôležité udržiavať všetky zariadenia aktuálne a inštalovať aktualizácie hneď, ako vyjdú. Aktualizácie opravujú známe zraniteľnosti, ktoré by mohli využiť škodliví aktéri, preto je nevyhnutné ich nainštalovať.
Neklikajte na neznáme odkazy ani neotvárajte nevyžiadané prílohy e-mailov
Táto rada sa nevzťahuje len na používateľov systému Android, ale na všetkých používateľov bez ohľadu na to, aký druh zariadenia používajú. Používatelia by mali byť vždy veľmi opatrní pri nevyžiadaných SMS, e-mailoch, správach atď., ktoré obsahujú odkazy alebo prílohy. Používatelia by tiež mali mať na pamäti, že vládne agentúry (napr. orgány činné v trestnom konaní, daňové úrady), banky a iné inštitúcie nikdy neposielajú SMS správy alebo e-maily s odkazmi. Používatelia by sa mali vo všeobecnosti vyhýbať klikaniu na neznáme odkazy a nikdy neotvárať nevyžiadané e-mailové prílohy bez toho, aby ich najprv skontrolovali (napr. skenovali pomocou antivírusového programu alebo VirusTotal ).