„Rokarolla Banking“ Trojos arklys

Autorius Mezo, Kenkėjiška programa mobiliesiems, Bankininkystės Trojos arklys

Versti į:

Kibernetinio saugumo tyrėjai aptiko naują „Android“ bankininkystės Trojos arklį, vadinamą „Rokarolla“, pavadintą pagal jo komandų ir kontrolės (C2) infrastruktūrą. Kenkėjiška programa sukurta taip, kad atakuotų platų finansinių paslaugų spektrą ir galėtų atakuoti 217 bankininkystės ir kriptovaliutų programų. Turėdama 137 nuotolines komandas, „Rokarolla“ suteikia kibernetiniams nusikaltėliams išskirtinį pažeidžiamų įrenginių kontrolės lygį.

Įdiegus kenkėjišką programą, ji gali pašalinti ekrano užrakinimo apsaugas, perimti ir siųsti SMS žinutes, manipuliuoti iškarpinės turiniu, kad nukreiptų kriptovaliutų pervedimus, ir netgi išjungti „Google“ integruotus saugos mechanizmus.

Turinys

Paslėptas platinimas per suklastotas programas

„Rokarolla“ daugiausia platinama per kenkėjiškas svetaines, kurios maskuojasi kaip teisėtos ir populiarios programos, įskaitant „TikTok“ ir „Google Chrome“.

Iš pradžių aukos atsisiunčia „dropper“ programėlę, kuri apsimeta „Google Play Protect“. Pasinaudodama šia patikima išvaizda, „dropper“ programa įtikina vartotojus suteikti prieinamumo paslaugos leidimus ir palengvina kenkėjiškos programos diegimą. Po vykdymo viena iš „Rokarolla“ komandų iš karto išjungia „Play Protect“, pašalindama svarbų „Android“ saugumo sluoksnį.

Perdangos atakos, skirtos pavogti kredencialus

Kredencialų vagystės vykdomos naudojant sudėtingas perdengimo atakas. „Rokarolla“ iš savo komandų serverio nuskaito tikslinių programų sąrašą ir atsisiunčia su tomis programomis susijusius suklastotus HTML prisijungimo puslapius. Šios padirbtos sąsajos saugomos lokaliai ir rodomos kaskart, kai auka atidaro teisėtą bankininkystės ar kriptovaliutų programą.

Padirbti ekranai sukurti taip, kad užfiksuotų visą vartotojo įvedamą informaciją, įskaitant vartotojo vardus, slaptažodžius ir mokėjimo kortelės duomenis. Tyrėjai pastebėjo vieną pavyzdį, kuris įtikinamai imitavo bankininkystės programėlės „įsivaizduotę“.

Kenkėjiška programa taip pat naudoja suklastotą „Android“ užrakinimo ekrano perdengimą, galintį rinkti PIN kodus, šablonus ir slaptažodžius. Ši funkcija leidžia užpuolikams išlaikyti prieigą ir valdymą net tada, kai įrenginys užrakintas.

Įgaliojimų vagystės, stebėjimas ir finansinis sukčiavimas viename pakete

„Rokarolla“ derina kelis stebėjimo ir vagysčių mechanizmus, kad maksimaliai padidintų duomenų rinkimą ir finansinę naudą:

Visapusiškos SMS stebėjimo ir pranešimų siuntimo galimybės leidžia perimti vienkartinius slaptažodžius, naudojamus bankininkystės autentifikavimui ir operacijų patvirtinimui.
Paskirdama save kaip numatytąją įrenginio pranešimų ir skambinimo programą, kenkėjiška programa gali blokuoti įeinančius skambučius ir taip užkirsti kelią sukčiavimo įspėjimams pasiekti aukas.

Integruotos klavišų ir ekrano paspaudimų registravimo funkcijos fiksuoja naudotojų veiklą, o kontaktai ir pranešimai yra nuolat renkami.

Mainų srities manipuliavimas tyliai pakeičia nukopijuotus kriptovaliutų piniginių adresus užpuoliko kontroliuojamais adresais, nukreipdamas lėšas be aukos žinios.

Slaptos stebėjimo technikos vengia aptikimo

Kitaip nei daugelis „Android“ kenkėjiškų programų šeimų, kurios naudoja „MediaProjection“ pagrindu veikiantį ekrano įrašymą, „Rokarolla“ taiko tylesnę stebėjimo strategiją. Užuot aktyvavusi matomus įrašymo pranešimus, ji fiksuoja ekrano kopijas naudodama prieinamumo paslaugas, suspaudžia jas į PNG failus ir perduoda jas atskirai savo operatoriams.

Šis metodas sumažina aptikimo tikimybę, tuo pačiu suteikdamas užpuolikams išsamų naudotojų veiklos vaizdą. Palyginti su paslėptais VNC diegimais, kuriuos naudoja tokios kenkėjiškų programų šeimos kaip HOOK ir Klopatra, „Rokarolla“ ekrano kopijomis pagrįsta stebėsena yra paprastesnė ir diskretiškesnė.

Atspari infrastruktūra ir plintanti kenkėjiškų programų tendencija

Kenkėjiška programa sukurta taip, kad atlaikytų sutrikdymo bandymus. Kode yra įterpti keli atsarginiai komandų ir valdymo domenai, o operatoriai gali dinamiškai priskirti papildomus serverius, kai tik prireikia. Todėl vieno komandų serverio išjungimas mažai veikia bendrą veikimą.

Jo platus komandų rinkinys viršija 107 komandas, anksčiau aprašytas bankininkystės Trojos arklyje „HOOK“, ir tai rodo vis sudėtingesnę „Android“ bankininkystės kenkėjišką programinę įrangą, pastebėtą 2026 m. Atakos metodika atitinka įprastą modelį, kuris tampa vis dažnesnis:

Platinimas per netikras programų diegimo programas.
Piktnaudžiavimas pritaikymo neįgaliesiems paslaugomis siekiant padidinti privilegijas ir valdyti įrenginius.
HTML pagrįstų perdangų naudojimas kredencialams ir neskelbtinai informacijai rinkti.

Gynybinės priemonės išlieka svarbios

Kadangi „Rokarolla“ yra kenkėjiška programa, o ne programinės įrangos pažeidžiamumas, nėra saugumo pataisos, galinčios pašalinti šią grėsmę. Apsauga priklauso nuo nusistovėjusios „Android“ saugos praktikos laikymosi.

Programas reikėtų diegti tik iš oficialios „Google Play“ parduotuvės, „Google Play Protect“ visada turėtų būti įjungta, o bet koks netikėtas pritaikymo neįgaliesiems leidimų prašymas turėtų būti laikomas reikšmingu įspėjamuoju ženklu. Prieinamumo prieiga yra „Rokarolla“ atakų grandinės pagrindas ir įgalina daugelį pavojingiausių jos funkcijų.

Priskyrimas lieka nežinomas

Ataskaitos rengimo metu „Rokarolla“ nebuvo siejama su jokiu viešai identifikuotu kibernetinių nusikaltėlių grupe. Nepaisant to, jos dizainas aiškiai rodo sąmoningas pastangas apeiti tas apsaugos priemones, kuriomis „Android“ vartotojai raginami pasitikėti, įskaitant „Play Protect“, užrakinimo ekrano apsaugas ir kitas integruotas saugos kontrolės priemones.

Kenkėjiškos programos galimybės pabrėžia nuolatinę „Android“ bankininkystės Trojos arklių evoliuciją ir vis sudėtingesnes finansiškai motyvuotas mobiliųjų įrenginių grėsmes.

„EnigmaSoft“ mokėjimų procesorius „Digital River GmbH“ pareiškimas dėl bankroto neturi įtakos „SpyHunter“ klientų apsaugai nuo kenkėjiškų programų

Paieška

Keisti regioną