Rabatttilbud for flere lisenser
Trusseldatabase Mobil skadelig programvare Rokarolla Banking Trojan

Rokarolla Banking Trojan

Med Mezo i Mobil skadelig programvare, Bank Trojan
Oversett til:

Forskere innen nettsikkerhet har identifisert en ny Android-banktrojaner kjent som Rokarolla, oppkalt etter dens Command-and-Control (C2)-infrastruktur. Skadevaren er utviklet for å målrette et bredt spekter av finansielle tjenester, med evnen til å angripe 217 bank- og kryptovalutaapplikasjoner. Utstyrt med 137 eksterne kommandoer gir Rokarolla nettkriminelle et eksepsjonelt nivå av kontroll over kompromitterte enheter.

Når den er installert, kan skadevaren fjerne låseskjermbeskyttelse, avlytte og sende SMS-meldinger, manipulere innhold på utklippstavlen for å omdirigere kryptovalutaoverføringer og til og med deaktivere Googles innebygde sikkerhetsmekanismer.

Forkledd distribusjon gjennom falske applikasjoner

Rokarolla distribueres hovedsakelig gjennom ondsinnede nettsteder som utgir seg for å være legitime og populære apper, inkludert TikTok og Google Chrome.

Ofrene laster først ned en dropper-applikasjon som utgir seg for å være Google Play Protect. Ved å utnytte dette pålitelige utseendet, overtaler dropper-applikasjonen brukerne til å gi tilgangstjenesten tillatelser og forenkler installasjonen av den skadelige nyttelasten. Etter kjøring deaktiverer en av Rokarollas kommandoer Play Protect umiddelbart, noe som eliminerer et viktig lag med Android-sikkerhet.

Overleggsangrep designet for å stjele legitimasjon

Legitimasjonstyveri utføres gjennom sofistikerte overlay-angrep. Rokarolla henter en liste over målrettede applikasjoner fra kommandoserveren sin og laster ned falske HTML-innloggingssider som tilsvarer disse appene. Disse forfalskede grensesnittene lagres lokalt og vises hver gang et offer åpner en legitim bank- eller kryptovalutaapplikasjon.

De falske skjermene er utformet for å fange opp all informasjon som brukeren skriver inn, inkludert brukernavn, passord og betalingskortdetaljer. Forskerne observerte ett eksempel som overbevisende imiterte bankapplikasjonen «imagin».

Skadevaren bruker også et forfalsket Android-låseskjermoverlegg som er i stand til å samle PIN-koder, mønstre og passord. Denne funksjonen lar angripere opprettholde tilgang og kontroll selv når enheten er låst.

Legitimasjonstyveri, overvåking og økonomisk svindel i én pakke

Rokarolla kombinerer flere overvåkings- og tyverimekanismer for å maksimere datainnsamling og økonomisk gevinst:

  • Fullstendig SMS-overvåking og meldingssending muliggjør avlytting av engangspassord som brukes til bankgodkjenning og transaksjonsgodkjenninger.
  • Ved å tilordne seg selv som enhetens standard meldings- og anropsprogram, kan skadevarslen blokkere innkommende anrop, noe som potensielt forhindrer at svindelvarsler når ofrene.
  • Integrerte funksjoner for tastelogging og skjermlogging fanger opp brukeraktivitet, mens kontakter og varsler kontinuerlig samles inn.
  • Manipulering av utklippstavlen erstatter i stillhet kopierte adresser til kryptovaluta-lommebøker med angriperkontrollerte adresser, og omdirigerer dermed midler uten offerets viten.

    • Teknikker for skjult overvåking unngår deteksjon

    I motsetning til mange Android-malwarefamilier som er avhengige av MediaProjection-basert skjermopptak, bruker Rokarolla en mer stillegående overvåkingsstrategi. I stedet for å utløse synlige opptaksvarsler, tar den skjermbilder via tilgjengelighetstjenester, komprimerer dem til PNG-filer og overfører dem individuelt til operatørene.

    Denne tilnærmingen reduserer sannsynligheten for oppdagelse, samtidig som den gir angripere en detaljert oversikt over brukeraktivitet. Sammenlignet med skjulte VNC-implementeringer som brukes av skadevarefamilier som HOOK og Klopatra, er Rokarollas skjermbildebaserte overvåking både enklere og mer diskret.

    Robust infrastruktur og en økende trend med skadelig programvare

    Skadevaren er bygget for å tåle forstyrrelser. Flere backup-kommando- og kontrolldomener er innebygd i koden, og operatører kan dynamisk tilordne flere servere når det er nødvendig. Som et resultat har deaktivering av én enkelt kommandoserver liten innvirkning på den generelle driften.

    Det omfattende kommandosettet overstiger de 107 kommandoene som tidligere er dokumentert i banktrojaneren HOOK, noe som gjenspeiler den økende sofistikeringen av Android-bankskadevare som ble observert gjennom 2026. Angrepsmetodikken følger et kjent mønster som har blitt stadig mer vanlig:

    • Distribusjon gjennom falske programinstallasjonsprogrammer.
    • Misbruk av tilgjengelighetstjenester for eskalering av rettigheter og enhetskontroll.
    • Bruk av HTML-baserte overlegg for å samle inn legitimasjon og sensitiv informasjon.

    Forsvarstiltak er fortsatt kritiske

    Fordi Rokarolla er skadelig programvare snarere enn en programvaresårbarhet, finnes det ingen sikkerhetsoppdatering som kan eliminere trusselen. Beskyttelse avhenger av å følge etablerte Android-sikkerhetspraksiser.

    Apper bør kun installeres fra den offisielle Google Play Store, Google Play Protect bør være aktivert til enhver tid, og enhver uventet forespørsel om tilgjengelighetstillatelser bør behandles som et betydelig varseltegn. Tilgjengelighetstilgang fungerer som grunnlaget for Rokarollas angrepskjede og muliggjør mange av dens farligste funksjoner.

    Attribusjon forblir ukjent

    På rapporteringstidspunktet har ikke Rokarolla vært knyttet til noen offentlig identifiserte trusselaktører eller nettkriminelle grupper. Likevel viser designet tydelig en bevisst innsats for å omgå de samme beskyttelsene som Android-brukere oppfordres til å stole på, inkludert Play Protect, låseskjermbeskyttelse og andre innebygde sikkerhetskontroller.

    Skadevarens egenskaper fremhever den fortsatte utviklingen av Android-banktrojanere og den økende sofistikeringen av økonomisk motiverte mobiltrusler.

    Laster inn...