Monen lisenssin alennustarjous
Uhatietokanta Mobiili haittaohjelma Rokarolla-pankkitroijalainen

Rokarolla-pankkitroijalainen

Vuonna Mezo vuonna Mobiili haittaohjelma, Pankkitoiminta Troijalainen
Käännä:

Kyberturvallisuustutkijat ovat tunnistaneet uuden Android-pankkitroijalaisen nimeltä Rokarolla, joka on nimetty sen Command-and-Control (C2) -infrastruktuurin mukaan. Haittaohjelma on suunniteltu kohdistamaan hyökkäyksiä laajaan valikoimaan rahoituspalveluita, ja sillä on kyky hyökätä 217 pankki- ja kryptovaluuttasovellukseen. 137 etäkomennolla varustettu Rokarolla tarjoaa kyberrikollisille poikkeuksellisen tason hallintaa vaarantuneisiin laitteisiin.

Asennuksen jälkeen haittaohjelma voi poistaa lukitusnäytön suojaukset, siepata ja lähettää tekstiviestejä, muokata leikepöydän sisältöä kryptovaluuttasiirtojen uudelleenohjaamiseksi ja jopa poistaa käytöstä Googlen sisäänrakennetut turvamekanismit.

Peitetty levitys väärennettyjen sovellusten kautta

Rokarolla leviää pääasiassa haitallisten verkkosivustojen kautta, jotka naamioituvat laillisiksi ja suosituiksi sovelluksiksi, kuten TikTok ja Google Chrome.

Uhrit lataavat aluksi dropper-sovelluksen, joka tekeytyy Google Play Protectiksi. Hyödyntämällä tätä luotettavaa ulkonäköä dropper-sovellus suostuttelee käyttäjät myöntämään esteettömyyspalvelun käyttöoikeudet ja helpottaa haitallisen hyötykuorman asentamista. Suorittamisen jälkeen yksi Rokarollan komennoista poistaa Play Protectin välittömästi käytöstä, mikä poistaa tärkeän kerroksen Androidin tietoturvasta.

Overlay-hyökkäykset, joiden tarkoituksena on varastaa tunnistetiedot

Tunnistetietojen varastamista tehdään hienostuneilla päällekkäishyökkäyksillä. Rokarolla hakee komentopalvelimeltaan luettelon kohdennetuista sovelluksista ja lataa näitä sovelluksia vastaavat vilpilliset HTML-kirjautumissivut. Nämä väärennetyt käyttöliittymät tallennetaan paikallisesti ja näytetään aina, kun uhri avaa laillisen pankki- tai kryptovaluuttasovelluksen.

Väärennetyt näytöt on suunniteltu tallentamaan kaikki käyttäjän syöttämät tiedot, mukaan lukien käyttäjätunnukset, salasanat ja maksukorttitiedot. Tutkijat havaitsivat yhden esimerkin, joka jäljitteli vakuuttavasti pankkisovelluksen "kuvitteellista" toimintaa.

Haittaohjelma käyttää myös väärennettyä Android-lukitusnäytön peittokuvaa, joka pystyy keräämään PIN-koodeja, kuvioita ja salasanoja. Tämän ominaisuuden avulla hyökkääjät voivat säilyttää laitteen hallinnan, vaikka se olisi lukittu.

Valtakirjavarkaudet, valvonta ja talouspetokset yhdessä paketissa

Rokarolla yhdistää useita valvonta- ja varkausmekanismeja tiedonkeruun ja taloudellisen hyödyn maksimoimiseksi:

  • Täydelliset tekstiviestivalvonta- ja viestien lähetysominaisuudet mahdollistavat pankkitodennuksessa ja tapahtumien hyväksymisessä käytettyjen kertakäyttöisten salasanasuojausten sieppaamisen.
  • Määrittämällä itsensä laitteen oletusviesti- ja puhelusovellukseksi haittaohjelma voi estää saapuvat puhelut, mikä voi estää petosvaroitusten pääsyn uhreille.
  • Integroidut näppäin- ja näytönlukutoiminnot tallentavat käyttäjän toimia, ja yhteystietoja ja ilmoituksia kerätään jatkuvasti.
  • Leikepöydän manipulointi korvaa hiljaa kopioidut kryptovaluuttalompakoiden osoitteet hyökkääjän hallitsemilla osoitteilla, ohjaten varoja uhrin tietämättä.

Salakavalat valvontatekniikat välttävät havaitsemisen

Toisin kuin monet Android-haittaohjelmaperheet, jotka käyttävät MediaProjection-pohjaista näytön tallennusta, Rokarolla käyttää hiljaisempaa valvontastrategiaa. Näkyvien tallennusilmoitusten laukaisemisen sijaan se tallentaa kuvakaappauksia Accessibility Servicesin kautta, pakkaa ne PNG-tiedostoiksi ja lähettää ne yksittäin operaattoreilleen.

Tämä lähestymistapa vähentää havaitsemisen todennäköisyyttä ja tarjoaa hyökkääjille silti yksityiskohtaisen kuvan käyttäjien toiminnasta. Verrattuna haittaohjelmaperheiden, kuten HOOKin ja Klopatran, käyttämiin piilotettuihin VNC-toteutuksiin, Rokarollan kuvakaappauspohjainen valvonta on sekä yksinkertaisempaa että huomaamattomampaa.

Resilientti infrastruktuuri ja kasvava haittaohjelmatrendi

Haittaohjelma on rakennettu kestämään häiriöyritykset. Koodiin on upotettu useita varmuuskopiointikomento- ja -ohjausalueita, ja operaattorit voivat dynaamisesti määrittää lisää palvelimia tarvittaessa. Tämän seurauksena yhden komentopalvelimen poistaminen käytöstä vaikuttaa vain vähän kokonaistoimintaan.

Sen laaja komentovalikoima ylittää aiemmin HOOK-pankkitroijalaisessa dokumentoidut 107 komentoa, mikä heijastaa Android-pankkihaittaohjelmien kasvavaa monimutkaisuutta, jota on havaittu vuoden 2026 aikana. Hyökkäysmenetelmä noudattaa tuttua kaavaa, josta on tullut yhä yleisempää:

  • Levitys väärennettyjen sovellusasennusohjelmien kautta.
  • Esteettömyyspalveluiden väärinkäyttö etuoikeuksien laajentamiseksi ja laitehallinnan edistämiseksi.
  • HTML-pohjaisten peittokuvien käyttö tunnistetietojen ja arkaluonteisten tietojen keräämiseen.

Puolustustoimet ovat edelleen kriittisiä

Koska Rokarolla on haittaohjelma eikä ohjelmistohaavoittuvuus, ei ole olemassa tietoturvakorjausta, joka pystyisi poistamaan uhan. Suojaus riippuu vakiintuneiden Android-tietoturvakäytäntöjen noudattamisesta.

Sovelluksia tulisi asentaa vain virallisesta Google Play Kaupasta, Google Play Protectin tulisi olla aina käytössä ja kaikkia odottamattomia esteettömyyskäyttöoikeuspyyntöjä tulisi pitää merkittävänä varoitusmerkkinä. Esteettömyyskäyttöoikeus toimii Rokarollan hyökkäysketjun perustana ja mahdollistaa monia sen vaarallisimmista ominaisuuksista.

Attribuutio on edelleen tuntematon

Raportointihetkellä Rokarollaa ei ole yhdistetty mihinkään julkisesti tunnistettuun uhkatoimijaan tai kyberrikollisryhmään. Sen suunnittelu kuitenkin osoittaa selvästi, että tarkoituksena on ohittaa juuri ne suojaukset, joihin Android-käyttäjien tulisi luottaa, kuten Play Protect, lukitusnäytön suojaukset ja muut sisäänrakennetut turvakontrollit.

Haittaohjelman ominaisuudet korostavat Android-pankkitroijalaisten jatkuvaa kehitystä ja taloudellisesti motivoituneiden mobiiliuhkien yhä monimutkaisempaa luonnetta.

Ladataan...