Rocinante: un carterista digital vacía los bancos brasileños

Investigadores de ThreatFabric han detectado recientemente la actividad de un nuevo malware para Android dirigido a los usuarios de servicios bancarios en Brasil. Los expertos en seguridad han identificado una nueva amenaza llamada Rocinante, que es un tipo avanzado de troyano bancario capaz de tomar el control del dispositivo de la víctima y robar sus datos personales.

Rocinante, que toma su nombre del caballo de Don Quijote, ha sido desarrollado utilizando tecnologías modernas que le permiten interceptar los datos introducidos, simular la interfaz de aplicaciones bancarias y obtener acceso completo al dispositivo mediante el uso de privilegios de los servicios de accesibilidad de Android. El malware utiliza activamente pantallas de phishing para recopilar información confidencial, que luego es transmitida a los ciberdelincuentes.

A pesar de sus características únicas, Rocinante a menudo se confunde con otro spyware conocido, Pegasus. Aunque el nombre Pegasus también es utilizado internamente por los creadores de Rocinante, este malware no está relacionado con la famosa herramienta de espionaje de NSO Group, diseñada para vigilar a periodistas, activistas y figuras políticas. La principal diferencia de Rocinante es su enfoque en obtener beneficios financieros a través de la compromisión de datos bancarios de usuarios en Brasil.

Rocinante se propaga a través de sitios de phishing que ofrecen la instalación de archivos APK maliciosos disfrazados de aplicaciones legítimas de bancos o servicios de seguridad. Una vez que el usuario concede los permisos necesarios a la aplicación, el malware comienza a registrar todas las actividades en el dispositivo y a enviar los datos obtenidos a los servidores de los delincuentes.

Una característica distintiva de Rocinante es su capacidad para cambiar dinámicamente los objetivos de ataque, lo que permite utilizar el mismo código malicioso para atacar diferentes instituciones financieras según la región. Sin embargo, en el caso de Brasil, la lista de objetivos está firmemente programada e incluye las principales instituciones bancarias del país, como Bradesco, Itaú y Banco do Brasil.

Además, Rocinante se destaca por la integración de código de otro malware conocido, Ermac, lo que indica un interés por parte de los cibercriminales brasileños en aprovechar los avances de sus colegas extranjeros. Sin embargo, a pesar de estas incorporaciones, Rocinante mantiene su singularidad y peligrosidad, continuando su evolución y adaptación a las condiciones locales.

Gracias a sus capacidades de keylogging, phishing y acceso remoto, Rocinante representa un riesgo significativo para los clientes bancarios, ya que sus datos financieros confidenciales, incluidos números de cuenta, contraseñas y detalles de transacciones, pueden ser comprometidos. Con esta información en su poder, los delincuentes pueden iniciar transferencias no autorizadas y vaciar las cuentas bancarias.

Además, la capacidad de acceso remoto permite a los ciberdelincuentes mantener un control constante sobre el dispositivo, monitorear las acciones y potencialmente manipular las transacciones en tiempo real, lo que aumenta aún más el riesgo financiero para los clientes desprevenidos.

Los expertos advierten sobre la necesidad de ser extremadamente cautelosos al descargar aplicaciones y recomiendan verificar la autenticidad del software antes de instalarlo. Es importante recordar que los delincuentes continúan buscando nuevas formas de engañar a los usuarios, y Rocinante es solo un ejemplo de cómo las amenazas cibernéticas modernas pueden evolucionar y adaptarse a diferentes condiciones.