Rokarolla pangandustroojalane

Aastaks Mezo aastal Mobiilne pahavara, Pangandus troojalane

Tõlgi:

Küberturvalisuse uurijad on tuvastanud uue Androidi pangandustrooja, mida tuntakse Rokarolla nime all ja mis on saanud nime selle juhtimis- ja kontrolliinfrastruktuuri (C2) järgi. Pahavara on loodud sihtima laia valikut finantsteenuseid ning suudab rünnata 217 pangandus- ja krüptovaluutarakendust. 137 kaugkäsklusega varustatud Rokarolla pakub küberkurjategijatele erakordset kontrolli ohustatud seadmete üle.

Pärast installimist saab pahavara eemaldada lukustuskuva kaitse, pealt kuulata ja saata SMS-sõnumeid, manipuleerida lõikelaua sisuga krüptovaluutaülekandeid ümber suunata ja isegi keelata Google'i sisseehitatud turvamehhanismid.

Sisukord

Varjatud levitamine võltsitud rakenduste kaudu

Rokarollat levitatakse peamiselt pahatahtlike veebisaitide kaudu, mis maskeeruvad legitiimseteks ja populaarseteks rakendusteks, sealhulgas TikTok ja Google Chrome.

Ohvrid laadivad esmalt alla dropper-rakenduse, mis jäljendab Google Play Protecti. Seda usaldusväärset välimust ära kasutades veenab dropper kasutajaid andma ligipääsetavuse teenusele lube ja hõlbustab pahatahtliku sisu installimist. Pärast käivitamist keelab üks Rokarolla käskudest kohe Play Protecti, kõrvaldades olulise Androidi turvakihi.

Volituste varastamiseks loodud ülekatterünnakud

Volitusandmete vargust teostatakse keerukate pealiskaudsete rünnakute abil. Rokarolla hangib oma käsuserverist nimekirja sihtrakendustest ja laadib alla petturlikud HTML-i sisselogimislehed, mis vastavad nendele rakendustele. Need võltsitud liidesed salvestatakse lokaalselt ja kuvatakse iga kord, kui ohver avab seadusliku pangandus- või krüptovaluutarakenduse.

Võltsitud ekraanid on loodud jäädvustama kogu kasutaja sisestatud teavet, sealhulgas kasutajanimesid, paroole ja maksekaardi andmeid. Teadlased täheldasid ühte näidet, mis veenvalt jäljendas pangarakenduse „kujuteldavat“ olemust.

Pahavara kasutab ka võltsitud Androidi lukustuskuva kattekihti, mis suudab koguda PIN-koode, mustreid ja paroole. See funktsioon võimaldab ründajatel säilitada juurdepääsu ja kontrolli isegi siis, kui seade on lukus.

Volituste vargus, jälitustegevus ja finantspettused ühes paketis

Rokarolla ühendab mitu jälgimis- ja vargusmehhanismi, et maksimeerida andmete kogumist ja rahalist kasu:

Täielik SMS-jälgimis- ja sõnumite saatmisvõimalus võimaldab pealt kuulata ühekordseid paroole, mida kasutatakse pangatoimingute autentimiseks ja tehingute kinnitamiseks.
Määrates end seadme vaikimisi sõnumside- ja kõnerakenduseks, saab pahavara blokeerida sissetulevaid kõnesid, takistades potentsiaalselt pettusehoiatuste jõudmist ohvriteni.

Integreeritud klahvivajutuste ja ekraanipiltide logimise funktsioonid jäädvustavad kasutaja tegevust ning kontakte ja teavitusi kogutakse pidevalt.

Lõikelaua manipuleerimine asendab kopeeritud krüptovaluuta rahakoti aadressid vaikselt ründaja kontrollitud aadressidega, suunates raha ohvri teadmata ümber.

Varjatud jälgimistehnikad aitavad vältida avastamist

Erinevalt paljudest Androidi pahavaraperekondadest, mis tuginevad MediaProjectionil põhinevale ekraanisalvestusele, kasutab Rokarolla vaiksemat jälgimisstrateegiat. Nähtavate salvestusteadete käivitamise asemel jäädvustab see ligipääsetavuse teenuste kaudu ekraanipilte, tihendab need PNG-failideks ja edastab need eraldi oma operaatoritele.

See lähenemisviis vähendab avastamise tõenäosust, pakkudes samal ajal ründajatele üksikasjalikku ülevaadet kasutajategevusest. Võrreldes pahavaraperekondade (nt HOOK ja Klopatra) varjatud VNC-rakendustega on Rokarolla ekraanipildipõhine jälgimine nii lihtsam kui ka diskreetsem.

Vastupidav infrastruktuur ja laienev pahavara trend

Pahavara on loodud vastu pidama katkestuskatsetele. Koodi on sisse põimitud mitu varukäskluse ja -juhtimise domeeni ning operaatorid saavad vajadusel dünaamiliselt määrata täiendavaid servereid. Seetõttu on ühe käsklusserveri keelamisel vähe mõju üldisele toimimisele.

Selle ulatuslik käskude komplekt ületab varem HOOK pangandustroojanis dokumenteeritud 107 käsku, mis peegeldab Androidi panganduspahavara kasvavat keerukust, mida täheldati kogu 2026. aasta jooksul. Rünnaku metoodika järgib tuttavat mustrit, mis on muutunud üha tavalisemaks:

Levitamine võltsitud rakenduste installijate kaudu.
Ligipääsetavusteenuste kuritarvitamine privileegide laiendamiseks ja seadme kontrollimiseks.
HTML-põhiste ülekattematerjalide kasutamine volituste ja tundliku teabe kogumiseks.

Kaitsemeetmed on endiselt kriitilise tähtsusega

Kuna Rokarolla on pigem pahavara kui tarkvaraline haavatavus, puudub turvaparandus, mis ohu kõrvaldaks. Kaitse sõltub Androidi väljakujunenud turvapraktikate järgimisest.

Rakendusi tuleks installida ainult ametlikust Google Play poest, Google Play Protect peaks olema kogu aeg lubatud ja iga ootamatut ligipääsetavuse lubamise taotlust tuleks käsitleda olulise hoiatusmärgina. Ligipääsetavus on Rokarolla rünnakuahela alus ja võimaldab paljusid selle kõige ohtlikumaid funktsioone.

Omistamine jääb teadmata

Aruande esitamise ajal ei ole Rokarollat seostatud ühegi avalikult tuvastatud ohutegelase ega küberkurjategijate rühmitusega. Sellest hoolimata näitab selle disain selgelt teadlikku püüdlust mööda hiilida just nendest kaitsemeetmetest, mida Androidi kasutajatel soovitatakse usaldada, sealhulgas Play Protect, lukustuskuva kaitsemeetmed ja muud sisseehitatud turvakontrollid.

Pahavara võimekus rõhutab Androidi pangandustroojalaste pidevat arengut ja rahaliselt motiveeritud mobiiliohtude üha keerukamaks muutumist.

EnigmaSofti makseprotsessor Digital River GmbH pankrotiavalduse esitamine ei mõjuta SpyHunteri klientide pahavaravastast kaitset

Otsing

Vaheta piirkonda