Rokarolla Banking Trojan
Badacze cyberbezpieczeństwa zidentyfikowali nowego trojana bankowego na Androida, znanego jako Rokarolla, od nazwy infrastruktury Command-and-Control (C2). Szkodliwe oprogramowanie zostało zaprojektowane z myślą o atakowaniu szerokiej gamy usług finansowych i może atakować 217 aplikacji bankowych i kryptowalutowych. Wyposażony w 137 poleceń zdalnych, Rokarolla zapewnia cyberprzestępcom wyjątkowy poziom kontroli nad zainfekowanymi urządzeniami.
Po zainstalowaniu złośliwe oprogramowanie potrafi usuwać zabezpieczenia ekranu blokady, przechwytywać i wysyłać wiadomości SMS, manipulować zawartością schowka, aby przekierowywać przelewy kryptowalut, a nawet wyłączać wbudowane mechanizmy bezpieczeństwa Google.
Spis treści
Ukryta dystrybucja za pomocą fałszywych aplikacji
Rokarolla jest rozprzestrzeniana głównie za pośrednictwem złośliwych stron internetowych podszywających się pod legalne i popularne aplikacje, w tym TikTok i Google Chrome.
Ofiary początkowo pobierają aplikację typu dropper, która podszywa się pod Google Play Protect. Wykorzystując ten zaufany wygląd, dropper nakłania użytkowników do udzielenia uprawnień Usługom Ułatwień Dostępu i ułatwia instalację złośliwego oprogramowania. Po wykonaniu, jedno z poleceń Rokarolli natychmiast wyłącza Play Protect, eliminując ważną warstwę zabezpieczeń Androida.
Ataki nakładkowe mające na celu kradzież danych uwierzytelniających
Kradzież danych uwierzytelniających odbywa się za pomocą wyrafinowanych ataków nakładkowych. Rokarolla pobiera listę docelowych aplikacji ze swojego serwera poleceń i pobiera fałszywe strony logowania HTML odpowiadające tym aplikacjom. Te fałszywe interfejsy są przechowywane lokalnie i wyświetlane za każdym razem, gdy ofiara otwiera legalną aplikację bankową lub kryptowalutową.
Fałszywe ekrany mają na celu przechwycenie wszystkich informacji wprowadzanych przez użytkownika, w tym nazw użytkowników, haseł i danych kart płatniczych. Badacze zaobserwowali jeden przykład, który przekonująco imitował aplikację bankową „imagine”.
Szkodliwe oprogramowanie wykorzystuje również fałszywą nakładkę na ekran blokady Androida, która może zbierać kody PIN, wzory i hasła. Ta funkcja pozwala atakującym zachować dostęp i kontrolę nawet po zablokowaniu urządzenia.
Kradzież danych uwierzytelniających, nadzór i oszustwa finansowe w jednym pakiecie
Rokarolla łączy w sobie wiele mechanizmów nadzoru i kradzieży, aby zmaksymalizować zbieranie danych i zysk finansowy:
- Pełny monitoring SMS i możliwość wysyłania wiadomości umożliwiają przechwytywanie jednorazowych kodów używanych do uwierzytelniania bankowego i zatwierdzania transakcji.
- Przypisując się jako domyślna aplikacja do obsługi wiadomości i połączeń, złośliwe oprogramowanie może blokować połączenia przychodzące, potencjalnie uniemożliwiając dotarcie ostrzeżeń o oszustwach do ofiar.
Ukryte techniki monitorowania unikają wykrycia
W przeciwieństwie do wielu rodzin złośliwego oprogramowania na Androida, które opierają się na nagrywaniu ekranu w oparciu o MediaProjection, Rokarolla stosuje cichszą strategię nadzoru. Zamiast wysyłać widoczne powiadomienia o nagrywaniu, przechwytuje zrzuty ekranu za pośrednictwem Usług Dostępności, kompresuje je do plików PNG i przesyła indywidualnie do operatorów.
Takie podejście zmniejsza prawdopodobieństwo wykrycia, jednocześnie zapewniając atakującym szczegółowy wgląd w aktywność użytkownika. W porównaniu z ukrytymi implementacjami VNC używanymi przez takie rodziny złośliwego oprogramowania jak HOOK i Klopatra, monitorowanie oparte na zrzutach ekranu w Rokarolli jest prostsze i bardziej dyskretne.
Odporna infrastruktura i rosnący trend złośliwego oprogramowania
Szkodliwe oprogramowanie jest zaprojektowane tak, aby wytrzymać próby zakłócenia działania. W kodzie osadzone są liczne zapasowe domeny poleceń i kontroli, a operatorzy mogą dynamicznie przypisywać dodatkowe serwery w razie potrzeby. W rezultacie wyłączenie pojedynczego serwera poleceń ma niewielki wpływ na ogólne działanie systemu.
Jego rozbudowany zestaw poleceń przekracza liczbę 107 poleceń udokumentowanych wcześniej w trojanie bankowym HOOK, co odzwierciedla rosnącą złożoność złośliwego oprogramowania bankowego dla systemu Android obserwowaną w 2026 roku. Metodologia ataku opiera się na znanym, coraz powszechniejszym schemacie:
- Dystrybucja za pośrednictwem fałszywych instalatorów aplikacji.
- Nadużywanie usług ułatwień dostępu w celu zwiększenia uprawnień i kontroli urządzeń.
- Wykorzystanie nakładek opartych na HTML w celu zbierania danych uwierzytelniających i poufnych informacji.
Środki obronne pozostają kluczowe
Ponieważ Rokarolla jest złośliwym oprogramowaniem, a nie luką w zabezpieczeniach oprogramowania, nie ma łatki bezpieczeństwa, która mogłaby wyeliminować to zagrożenie. Ochrona zależy od przestrzegania ustalonych praktyk bezpieczeństwa Androida.
Aplikacje należy instalować wyłącznie z oficjalnego sklepu Google Play. Funkcja Google Play Protect powinna być zawsze włączona, a każde nieoczekiwane żądanie uprawnień dostępu należy traktować jako poważny sygnał ostrzegawczy. Dostęp do uprawnień dostępu stanowi podstawę łańcucha ataków Rokarolli i umożliwia realizację wielu jej najgroźniejszych funkcji.
Atrybucja pozostaje nieznana
W momencie publikacji raportu Rokarolla nie była powiązana z żadnym publicznie zidentyfikowanym podmiotem stwarzającym zagrożenie ani grupą cyberprzestępczą. Niemniej jednak jej konstrukcja wyraźnie wskazuje na celowe działanie mające na celu ominięcie zabezpieczeń, którym użytkownicy Androida są zachęcani do zaufania, w tym Play Protect, zabezpieczeń ekranu blokady i innych wbudowanych zabezpieczeń.
Możliwości tego złośliwego oprogramowania świadczą o ciągłej ewolucji trojanów bankowych dla systemu Android i coraz większym wyrafinowaniu zagrożeń mobilnych o charakterze finansowym.
