Usuários de dispositivos móveis no Brasil estão sendo alvo de uma nova campanha de malware que distribui um trojan bancário chamado Rocinante, projetado para roubar dados sensíveis de usuários de Android. Segundo os pesquisadores, o Rocinante é capaz de realizar keylogging utilizando o Serviço de Acessibilidade do Android, além de roubar informações pessoais (PII) das vítimas por meio de telas de phishing que se passam por aplicativos de bancos. Esse malware também pode utilizar as informações exfiltradas para realizar a tomada completa do dispositivo (DTO), aproveitando os privilégios do serviço de acessibilidade para obter acesso remoto total ao dispositivo infectado.
Entre os principais alvos do Rocinante estão instituições financeiras como Itaú Shop e Santander, com aplicativos falsos que se disfarçam de Bradesco Prime e Correios Celular, entre outros. Uma análise do código-fonte do malware revelou que os operadores do Rocinante o chamam internamente de Pegasus (ou PegasusSpy), embora não tenha qualquer conexão com o spyware de mesmo nome desenvolvido pela NSO Group. Além disso, o malware estabelece contato com um servidor de comando e controle (C2) para aguardar instruções adicionais, como simular eventos de toque e deslize na tela, que podem ser executados remotamente.
As informações pessoais colhidas são exfiltradas para um bot no Telegram, que as organiza e publica em um chat acessível a criminosos. Essa campanha ocorre em paralelo a outras ameaças cibernéticas na América Latina, como uma recente operação identificada pela Symantec que visa regiões de língua espanhola e portuguesa, utilizando o domínio secureserver[.]net para distribuir trojans bancários por meio de arquivos .hta e payloads em JavaScript.