Bančni trojanec Rokarolla

Do leta Mezo leta Mobilna zlonamerna programska oprema, bančni trojanec

Prevedi v:

Raziskovalci kibernetske varnosti so odkrili novega bančnega trojanca za Android, znanega kot Rokarolla, poimenovanega po svoji infrastrukturi Command-and-Control (C2). Zlonamerna programska oprema je zasnovana tako, da cilja na širok spekter finančnih storitev in lahko napade 217 bančnih in kriptovalutnih aplikacij. Rokarolla, opremljen s 137 oddaljenimi ukazi, ki kibernetskim kriminalcem zagotavlja izjemno raven nadzora nad ogroženimi napravami.

Ko je zlonamerna programska oprema nameščena, lahko odstrani zaščito zaklenjenega zaslona, prestreže in pošlje SMS sporočila, manipulira z vsebino odložišča za preusmeritev prenosov kriptovalut in celo onemogoči Googlove vgrajene varnostne mehanizme.

Kazalo

Prikrita distribucija prek lažnih aplikacij

Rokarolla se distribuira predvsem prek zlonamernih spletnih mest, ki se maskirajo kot legitimne in priljubljene aplikacije, vključno s TikTokom in Google Chrome.

Žrtve najprej prenesejo aplikacijo, ki se izdaja za Google Play Protect. Z izkoriščanjem tega zaupanja vrednega videza aplikacija prepriča uporabnike, da odobrijo dovoljenja za dostopnost storitev in olajša namestitev zlonamerne programske opreme. Po izvedbi eden od Rokarollinih ukazov takoj onemogoči Play Protect, s čimer odpravi pomembno plast varnosti Androida.

Prekrivajoči napadi, zasnovani za krajo poverilnic

Kraja poverilnic se izvaja s sofisticiranimi prekrivnimi napadi. Rokarolla pridobi seznam ciljnih aplikacij s svojega ukaznega strežnika in prenese lažne strani za prijavo v HTML, ki ustrezajo tem aplikacijam. Ti ponarejeni vmesniki so shranjeni lokalno in se prikažejo vsakič, ko žrtev odpre legitimno bančno ali kriptovalutno aplikacijo.

Ponarejeni zasloni so zasnovani tako, da zajamejo vse podatke, ki jih vnese uporabnik, vključno z uporabniškimi imeni, gesli in podatki o plačilnih karticah. Raziskovalci so opazili en primer, ki je prepričljivo posnemal bančno aplikacijo »imagin«.

Zlonamerna programska oprema uporablja tudi ponarejen prekrivni sloj za zaklenjen zaslon Android, ki lahko zbira PIN-e, vzorce in gesla. Ta zmožnost napadalcem omogoča ohranjanje dostopa in nadzora, tudi ko je naprava zaklenjena.

Kraja poverilnic, nadzor in finančne goljufije v enem paketu

Rokarolla združuje več mehanizmov nadzora in kraje za maksimiranje zbiranja podatkov in finančnega dobička:

Popolno spremljanje SMS-ov in možnosti pošiljanja sporočil omogočajo prestrezanje enkratnih gesel, ki se uporabljajo za preverjanje pristnosti pri bančništvu in odobritev transakcij.
Z dodelitvijo same sebe kot privzete aplikacije za sporočanje in klicanje v napravi lahko zlonamerna programska oprema blokira dohodne klice in tako prepreči, da bi opozorila o goljufijah dosegla žrtve.

Integrirane funkcije beleženja tipk in zaslona zajemajo uporabniško aktivnost, medtem ko se stiki in obvestila nenehno zbirajo.

Manipulacija odložišča tiho nadomešča kopirane naslove denarnic s kriptovalutami z naslovi, ki jih nadzoruje napadalec, in preusmerja sredstva brez vednosti žrtve.

Prikrite tehnike spremljanja se izognejo odkrivanju

Za razliko od mnogih družin zlonamerne programske opreme za Android, ki se zanašajo na snemanje zaslona s pomočjo MediaProjection, Rokarolla uporablja tišjo strategijo nadzora. Namesto da bi sprožil vidna obvestila o snemanju, zajame posnetke zaslona prek storitev za dostopnost, jih stisne v datoteke PNG in jih posamično posreduje svojim operaterjem.

Ta pristop zmanjšuje verjetnost odkritja, hkrati pa napadalcem zagotavlja podroben pregled nad uporabniško aktivnostjo. V primerjavi s skritimi implementacijami VNC, ki jih uporabljajo družine zlonamerne programske opreme, kot sta HOOK in Klopatra, je Rokarollino spremljanje na podlagi posnetkov zaslona preprostejše in bolj diskretno.

Odporna infrastruktura in rastoči trend zlonamerne programske opreme

Zlonamerna programska oprema je zasnovana tako, da prenese poskuse motenj. V kodo je vgrajenih več rezervnih domen za upravljanje in nadzor, operaterji pa lahko dinamično dodelijo dodatne strežnike, kadar koli je to potrebno. Posledično ima onemogočanje enega samega strežnika za upravljanje le majhen vpliv na celotno delovanje.

Njegov obsežen nabor ukazov presega 107 ukazov, ki so bili prej dokumentirani v bančnem trojancu HOOK, kar odraža vse večjo prefinjenost zlonamerne programske opreme za bančništvo za Android, ki smo jo opazili v letu 2026. Metodologija napada sledi znanemu vzorcu, ki postaja vse pogostejši:

Distribucija prek lažnih namestitvenih programov za aplikacije.
Zloraba storitev dostopnosti za stopnjevanje privilegijev in nadzor nad napravami.
Uporaba prekrivnih elementov na osnovi HTML za zbiranje poverilnic in občutljivih podatkov.

Obrambni ukrepi ostajajo ključnega pomena

Ker je Rokarolla zlonamerna programska oprema in ne programska ranljivost, ni varnostnega popravka, ki bi lahko odpravil grožnjo. Zaščita je odvisna od upoštevanja ustaljenih varnostnih praks Androida.

Aplikacije je dovoljeno nameščati samo iz uradne trgovine Google Play, Google Play Protect mora biti vedno omogočen, vsako nepričakovano zahtevo za dovoljenja za dostopnost pa je treba obravnavati kot pomemben opozorilni znak. Dostopnost za dostopnost je temelj napadalne verige Rokarolle in omogoča številne njene najnevarnejše zmogljivosti.

Pripis ostaja neznan

V času poročanja Rokarolla ni bila povezana z nobenim javno znanim akterjem grožnje ali skupino kibernetskih kriminalcev. Kljub temu njena zasnova jasno kaže na namerno prizadevanje za zaobidenje prav tistih zaščit, ki naj bi jim uporabniki Androida zaupali, vključno s Play Protect, zaščitnimi ukrepi za zaklepanje zaslona in drugimi vgrajenimi varnostnimi kontrolami.

Zmogljivosti zlonamerne programske opreme poudarjajo nenehen razvoj trojanskih konjev za Android in vse večjo prefinjenost finančno motiviranih mobilnih groženj.

EnigmaSoftov plačilni procesor Digital River GmbH Prijava stečaja ne vpliva na zaščito strank SpyHunter pred zlonamerno programsko opremo

Iskanje

Spremeni regijo