Банков троянец Рокарола
Изследователи по киберсигурност са идентифицирали нов троянски кон за банкиране за Android, известен като Rokarolla, кръстен на своята инфраструктура за командване и контрол (C2). Зловредният софтуер е предназначен да атакува широк спектър от финансови услуги, като има способността да атакува 217 банкови и криптовалутни приложения. Снабден със 137 отдалечени команди, Rokarolla предоставя на киберпрестъпниците изключително ниво на контрол върху компрометирани устройства.
След като бъде инсталиран, зловредният софтуер може да премахва защитите на заключения екран, да прихваща и изпраща SMS съобщения, да манипулира съдържанието на клипборда, за да пренасочва преводи на криптовалута, и дори да деактивира вградените механизми за сигурност на Google.
Съдържание
Прикрито разпространение чрез фалшиви приложения
Rokarolla се разпространява предимно чрез злонамерени уебсайтове, маскирани като легитимни и популярни приложения, включително TikTok и Google Chrome.
Жертвите първоначално изтеглят приложение, което се представя за Google Play Protect. Използвайки този надежден вид, приложението убеждава потребителите да предоставят разрешения на услугата за достъпност и улеснява инсталирането на злонамереното съдържание. След изпълнението си, една от командите на Rokarolla незабавно деактивира Play Protect, елиминирайки важен слой сигурност на Android.
Наслагващи се атаки, предназначени да откраднат идентификационни данни
Кражбата на идентификационни данни се извършва чрез сложни атаки с наслагване. Rokarolla извлича списък с целеви приложения от своя команден сървър и изтегля измамни HTML страници за вход, съответстващи на тези приложения. Тези фалшиви интерфейси се съхраняват локално и се показват всеки път, когато жертвата отвори легитимно банково или криптовалутно приложение.
Фалшивите екрани са предназначени да улавят цялата информация, въведена от потребителя, включително потребителски имена, пароли и данни за платежни карти. Изследователите са наблюдавали един пример, който убедително е имитирал банковото приложение „imagin“.
Зловредният софтуер също така внедрява фалшиво наслагване на заключен екран на Android, способно да събира ПИН кодове, шаблони и пароли. Тази възможност позволява на нападателите да поддържат достъп и контрол дори когато устройството е заключено.
Кражба на идентификационни данни, наблюдение и финансови измами в един пакет
Rokarolla комбинира множество механизми за наблюдение и кражба, за да увеличи максимално събирането на данни и финансовата печалба:
- Пълното SMS наблюдение и възможностите за изпращане на съобщения позволяват прихващане на еднократни пароли, използвани за банково удостоверяване и одобрение на транзакции.
- Като се определя като приложение за съобщения и обаждания по подразбиране на устройството, зловредният софтуер може да блокира входящите повиквания, потенциално предотвратявайки достигането на предупреждения за измами до жертвите.
- Интегрираните функции за регистриране на клавишни комбинации и екранни записи улавят потребителската активност, докато контактите и известията се събират непрекъснато.
- Манипулацията с клипборда незабелязано замества копираните адреси на портфейли с криптовалута с контролирани от нападателя адреси, пренасочвайки средства без знанието на жертвата.
Техники за скрито наблюдение, които избягват откриването
За разлика от много семейства злонамерен софтуер за Android, които разчитат на запис на екрана, базиран на MediaProjection, Rokarolla използва по-тиха стратегия за наблюдение. Вместо да задейства видими известия за запис, той заснема екранни снимки чрез услугите за достъпност, компресира ги в PNG файлове и ги предава поотделно на своите оператори.
Този подход намалява вероятността от откриване, като същевременно предоставя на нападателите подробен поглед върху потребителската активност. В сравнение със скритите VNC имплементации, използвани от семейства злонамерен софтуер като HOOK и Klopatra, мониторингът, базиран на скрийншотове, на Rokarolla е едновременно по-прост и по-дискретен.
Устойчива инфраструктура и разширяваща се тенденция за зловреден софтуер
Зловредният софтуер е създаден да издържи на усилията за прекъсване на работата. В кода са вградени множество резервни домейни за командване и контрол, а операторите могат динамично да назначават допълнителни сървъри, когато е необходимо. В резултат на това деактивирането на един единствен команден сървър има малко влияние върху цялостната операция.
Обширният му набор от команди надвишава 107-те команди, документирани по-рано в банковия троянец HOOK, което отразява нарастващата сложност на зловредния софтуер за банкиране за Android, наблюдаван през 2026 г. Методологията на атаката следва познат модел, който става все по-често срещан:
- Разпространение чрез фалшиви инсталатори на приложения.
- Злоупотреба с услуги за достъпност за ескалация на привилегии и контрол на устройства.
- Използване на HTML-базирани наслагвания за събиране на идентификационни данни и чувствителна информация.
Защитните мерки остават критични
Тъй като Rokarolla е злонамерен софтуер, а не софтуерна уязвимост, няма защитна корекция, способна да елиминира заплахата. Защитата зависи от спазването на установените практики за сигурност на Android.
Приложенията трябва да се инсталират само от официалния Google Play Store, Google Play Protect трябва да остане активиран по всяко време, а всяко неочаквано искане за разрешения за достъпност трябва да се третира като сериозен предупредителен знак. Достъпът за достъпност служи като основа на атакуващата верига на Rokarolla и активира много от най-опасните му възможности.
Атрибуцията остава неизвестна
Към момента на публикуване на доклада, Rokarolla не е свързан с публично идентифициран злонамерен персонаж или киберпрестъпна група. Въпреки това, дизайнът му ясно демонстрира умишлен опит за заобикаляне на защитите, на които потребителите на Android са насърчавани да се доверяват, включително Play Protect, защити при заключване на екрана и други вградени контроли за сигурност.
Възможностите на зловредния софтуер подчертават продължаващата еволюция на банковите троянци за Android и нарастващата сложност на финансово мотивираните мобилни заплахи.