Rabattilbud med flere licenser
Trusseldatabase Mobil malware Rokarolla Banking Trojan

Rokarolla Banking Trojan

Med Mezo i Mobil malware, Bank Trojan
Oversæt til:

Cybersikkerhedsforskere har identificeret en ny Android-banktrojan kendt som Rokarolla, opkaldt efter dens Command-and-Control (C2) infrastruktur. Malwaren er designet til at målrette en bred vifte af finansielle tjenester og har evnen til at angribe 217 bank- og kryptovalutaapplikationer. Udstyret med 137 fjernkommandoer giver Rokarolla cyberkriminelle et exceptionelt niveau af kontrol over kompromitterede enheder.

Når malwaren er installeret, kan den fjerne låseskærmbeskyttelse, opsnappe og sende sms-beskeder, manipulere indholdet af udklipsholderen for at omdirigere kryptovalutaoverførsler og endda deaktivere Googles indbyggede sikkerhedsmekanismer.

Forklædt distribution gennem falske applikationer

Rokarolla distribueres primært via ondsindede websteder, der udgiver sig for at være legitime og populære applikationer, herunder TikTok og Google Chrome.

Ofrene downloader i første omgang en dropper-applikation, der udgiver sig for at være Google Play Protect. Ved at udnytte dette betroede udseende overtaler dropper-applikationen brugerne til at give tilladelser til Tilgængelighedstjenesten og letter installationen af den skadelige nyttelast. Efter udførelsen deaktiverer en af Rokarollas kommandoer øjeblikkeligt Play Protect, hvilket fjerner et vigtigt lag af Android-sikkerhed.

Overlay-angreb designet til at stjæle legitimationsoplysninger

Tyveri af legitimationsoplysninger udføres gennem sofistikerede overlay-angreb. Rokarolla henter en liste over målrettede applikationer fra sin kommandoserver og downloader falske HTML-login-sider, der svarer til disse apps. Disse forfalskede grænseflader gemmes lokalt og vises, når et offer åbner en legitim bank- eller kryptovalutaapplikation.

De falske skærme er designet til at indsamle alle oplysninger, som brugeren indtaster, herunder brugernavne, adgangskoder og betalingskortoplysninger. Forskerne observerede et eksempel, der overbevisende imiterede bankapplikationen 'imagin'.

Malwaren anvender også et forfalsket Android-låseskærmsoverlay, der er i stand til at indsamle pinkoder, mønstre og adgangskoder. Denne funktion giver angribere mulighed for at bevare adgang og kontrol, selv når enheden er låst.

Legitimationstyveri, overvågning og økonomisk svindel i én pakke

Rokarolla kombinerer flere overvågnings- og tyverimekanismer for at maksimere dataindsamling og økonomisk gevinst:

  • Fuld SMS-overvågning og afsendelse af beskeder muliggør opsnapping af engangsadgangskoder, der bruges til bankgodkendelse og transaktionsgodkendelser.
  • Ved at angive sig selv som enhedens standardbesked- og opkaldsprogram kan malwaren blokere indgående opkald og potentielt forhindre ofrene i at modtage advarsler om svindel.
  • Integrerede keylogging- og skærmlogningsfunktioner registrerer brugeraktivitet, mens kontakter og notifikationer løbende indsamles.
  • Manipulation af udklipsholdere erstatter lydløst kopierede adresser på kryptovaluta-wallets med angriberkontrollerede adresser og omdirigerer dermed penge uden offerets viden.

    • Stealth-overvågningsteknikker undgår detektion

    I modsætning til mange Android-malwarefamilier, der er afhængige af MediaProjection-baseret skærmoptagelse, anvender Rokarolla en mere stille overvågningsstrategi. I stedet for at udløse synlige optagelsesnotifikationer, optager den skærmbilleder via Tilgængelighedstjenester, komprimerer dem til PNG-filer og sender dem individuelt til sine operatører.

    Denne tilgang reducerer sandsynligheden for opdagelse, samtidig med at den stadig giver angribere et detaljeret overblik over brugeraktivitet. Sammenlignet med skjulte VNC-implementeringer, der bruges af malwarefamilier som HOOK og Klopatra, er Rokarollas skærmbilledebaserede overvågning både enklere og mere diskret.

    Robust infrastruktur og en voksende malware-trend

    Malwaren er bygget til at modstå forstyrrelser. Flere backup-kommando- og kontroldomæner er integreret i koden, og operatører kan dynamisk tildele yderligere servere efter behov. Som følge heraf har deaktivering af en enkelt kommandoserver ringe indflydelse på den samlede drift.

    Dets omfattende kommandosæt overstiger de 107 kommandoer, der tidligere er dokumenteret i HOOK-banktrojanen, hvilket afspejler den voksende sofistikering af Android-bankmalware, der blev observeret i løbet af 2026. Angrebsmetoden følger et velkendt mønster, der er blevet mere og mere almindeligt:

    • Distribution via falske programinstallationsprogrammer.
    • Misbrug af tilgængelighedstjenester til eskalering af rettigheder og enhedskontrol.
    • Brug af HTML-baserede overlays til at indsamle legitimationsoplysninger og følsomme oplysninger.

    Forsvarsforanstaltninger forbliver kritiske

    Da Rokarolla er malware snarere end en softwaresårbarhed, er der ingen sikkerhedsopdatering, der kan eliminere truslen. Beskyttelse afhænger af at følge etablerede Android-sikkerhedspraksisser.

    Applikationer bør kun installeres fra den officielle Google Play Store, Google Play Protect skal altid være aktiveret, og enhver uventet anmodning om tilgængelighedstilladelser bør behandles som et væsentligt advarselstegn. Tilgængelighedsadgang fungerer som fundamentet for Rokarollas angrebskæde og muliggør mange af dens farligste funktioner.

    Tilskrivning forbliver ukendt

    På tidspunktet for rapporteringen har Rokarolla ikke været forbundet med nogen offentligt identificeret trusselsaktør eller cyberkriminel gruppe. Ikke desto mindre viser dens design tydeligt en bevidst indsats for at omgå de samme beskyttelser, som Android-brugere opfordres til at stole på, herunder Play Protect, låseskærmbeskyttelse og andre indbyggede sikkerhedskontroller.

    Malwarens muligheder fremhæver den fortsatte udvikling af Android-banktrojanere og den stigende sofistikering af økonomisk motiverede mobiltrusler.

    Mest sete

    Indlæser...