Pesquisadores da ThreatFabric descobriram uma nova campanha maliciosa focada em usuários de dispositivos Android no Brasil. O protagonista dessa ameaça é o trojan Rocinante, que tem a capacidade de coletar credenciais de usuários através de keylogging e phishing, além de obter controle completo sobre dispositivos infectados.
O trojan Rocinante se infiltra em smartphones por meio de aplicativos falsos disfarçados de atualizações de segurança bancária. Uma vez dentro do dispositivo, ele começa a monitorar tudo o que é digitado pelo usuário e a criar páginas de phishing extremamente convincentes para roubar dados financeiros. Instituições como Itaú, Bradesco, Caixa Econômica Federal e Banco do Brasil estão entre os alvos preferenciais desse malware.
O que é o Trojano Rocinante?
O Rocinante é um tipo de malware conhecido como trojan ou cavalo de troia. Ele se disfarça de aplicativos inofensivos para enganar os usuários e ganhar acesso ao sistema. Uma vez instalado, ele pode roubar informações sensíveis, como logins e senhas, e até mesmo assumir o controle do dispositivo. Esse nível de intrusão é facilitado pelo uso do Serviço de Acessibilidade dos dispositivos Android.
Quando o Rocinante é baixado e instalado, ele solicita permissões de acessibilidade para monitorar atividades no dispositivo. De forma simples, ele captura todas as teclas digitadas e também pode simular toques na tela. Isso permite que ele:
- Roube credenciais bancárias e outras informações sensíveis através do keylogging.
- Exiba páginas de phishing que imitam bancos legítimos para roubar dados financeiros.
- Obtenha controle remoto completo sobre o dispositivo infectado.
Como evitar golpes e proteger seu dispositivo
Embora o Rocinante esteja constantemente evoluindo, existem várias medidas que os usuários podem adotar para se proteger contra esse tipo de malware:
- Evite aplicativos de fontes não confiáveis: Nunca instale aplicativos fora da Google Play Store ou Apple App Store.
- Desconfie de mensagens suspeitas: Não clique em links recebidos por mensagem ou e-mail, especialmente se oferecerem promoções ou atualizações inesperadas.
- Utilize antivírus: Instale e mantenha um bom antivírus atualizado em seu celular e computador.
- Ative a autenticação em duas etapas: Use o segundo fator de autenticação em suas contas, preferencialmente por meio de aplicativos de autenticação em vez de SMS.
- Atualize seus sistemas: Sempre mantenha seus aplicativos e sistema operacional nas versões mais recentes.
O Rocinante é operado por um cibercriminoso conhecido como DukeEugene, que já esteve envolvido em ataques contra usuários em países como a República Tcheca. Este criminoso também está associado a outras famílias de malwares, incluindo ERMAC, BlackRock, Hook e Loot. Segundo a ThreatFabric, a escolha do nome Rocinante provém do cavalo de Dom Quixote, simbolizando algo que aspira ser maior do que realmente é.
