Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware celular Trojan Bankar Rokarolla

Trojan Bankar Rokarolla

Nga MezoMalware celular, Trojan bankar
Përkthe në:

Studiuesit e sigurisë kibernetike kanë identifikuar një trojan të ri bankar në Android të njohur si Rokarolla, i emëruar sipas infrastrukturës së tij Command-and-Control (C2). Malware është projektuar për të synuar një gamë të gjerë shërbimesh financiare, me aftësinë për të sulmuar 217 aplikacione bankare dhe kriptomonedhash. I pajisur me 137 komanda në distancë, Rokarolla u ofron kriminelëve kibernetikë një nivel të jashtëzakonshëm kontrolli mbi pajisjet e kompromentuara.

Pasi të instalohet, programi keqdashës mund të heqë mbrojtjet e ekranit të bllokuar, të përgjojë dhe të dërgojë mesazhe SMS, të manipulojë përmbajtjen e clipboard-it për të ridrejtuar transferimet e kriptomonedhave dhe madje të çaktivizojë mekanizmat e integruar të sigurisë të Google.

Shpërndarje e maskuar përmes aplikacioneve të rreme

Rokarolla shpërndahet kryesisht përmes faqeve të internetit keqdashëse që maskohen si aplikacione legjitime dhe të njohura, duke përfshirë TikTok dhe Google Chrome.

Viktimat fillimisht shkarkojnë një aplikacion dropper që imiton Google Play Protect. Duke shfrytëzuar këtë pamje të besueshme, dropper bind përdoruesit të japin leje për Shërbimin e Aksesueshmërisë dhe lehtëson instalimin e ngarkesës keqdashëse. Pas ekzekutimit, një nga komandat e Rokarolla-s çaktivizon menjëherë Play Protect, duke eliminuar një shtresë të rëndësishme të sigurisë së Android.

Sulme mbivendosëse të dizajnuara për të vjedhur kredencialet

Vjedhja e kredencialeve kryhet përmes sulmeve të sofistikuara të mbivendosjes. Rokarolla merr një listë të aplikacioneve të synuara nga serveri i saj i komandës dhe shkarkon faqe hyrjeje HTML mashtruese që korrespondojnë me ato aplikacione. Këto ndërfaqe të falsifikuara ruhen lokalisht dhe shfaqen sa herë që një viktimë hap një aplikacion legjitim bankar ose kriptomonedhash.

Ekranet e rreme janë të dizajnuara për të kapur të gjithë informacionin e futur nga përdoruesi, duke përfshirë emrat e përdoruesit, fjalëkalimet dhe detajet e kartës së pagesës. Studiuesit vunë re një shembull që imitonte bindshëm aplikacionin bankar 'imagin'.

Malware gjithashtu përdor një mbulesë të falsifikuar të ekranit të bllokimit të Android-it të aftë për të mbledhur PIN-e, modele dhe fjalëkalime. Kjo aftësi u lejon sulmuesve të ruajnë aksesin dhe kontrollin edhe kur pajisja është e bllokuar.

Vjedhja e kredencialeve, mbikëqyrja dhe mashtrimi financiar në një paketë të vetme

Rokarolla kombinon mekanizma të shumëfishtë mbikëqyrjeje dhe vjedhjeje për të maksimizuar mbledhjen e të dhënave dhe fitimin financiar:

  • Monitorimi i plotë i SMS-ve dhe aftësitë e dërgimit të mesazheve mundësojnë kapjen e kodeve të njëpërdorimshme të përdorura për vërtetimin bankar dhe miratimet e transaksioneve.
  • Duke e caktuar veten si aplikacionin parazgjedhur të mesazheve dhe thirrjeve të pajisjes, programi keqdashës mund të bllokojë thirrjet hyrëse, duke parandaluar potencialisht që paralajmërimet për mashtrim të arrijnë te viktimat.
  • Funksionet e integruara të regjistrimit të tasteve dhe të ekranit kapin aktivitetin e përdoruesit, ndërsa kontaktet dhe njoftimet mblidhen vazhdimisht.
  • Manipulimi i clipboard-it zëvendëson në heshtje adresat e kopjuara të portofoleve të kriptomonedhave me adresa të kontrolluara nga sulmuesi, duke devijuar fondet pa dijeninë e viktimës.

Teknikat e Monitorimit të Fshehur Shmangin Zbulimin

Ndryshe nga shumë familje programesh keqdashëse për Android që mbështeten në regjistrimin e ekranit të bazuar në MediaProjection, Rokarolla përdor një strategji mbikëqyrjeje më të qetë. Në vend që të aktivizojë njoftime të dukshme regjistrimi, ajo kap pamje të ekranit përmes Shërbimeve të Aksesueshmërisë, i kompreson ato në skedarë PNG dhe i transmeton ato individualisht te operatorët e saj.

Kjo qasje zvogëlon gjasat e zbulimit, ndërkohë që u ofron sulmuesve një pamje të detajuar të aktivitetit të përdoruesit. Krahasuar me implementimet e fshehura VNC të përdorura nga familjet e programeve keqdashëse si HOOK dhe Klopatra, monitorimi i bazuar në pamje të ekranit nga Rokarolla është edhe më i thjeshtë edhe më diskret.

Infrastrukturë elastike dhe një trend në zgjerim i programeve keqdashëse

Malware është ndërtuar për t'i bërë ballë përpjekjeve të ndërprerjes. Domene të shumëfishta të komandës dhe kontrollit rezervë janë të integruara brenda kodit dhe operatorët mund të caktojnë dinamikisht serverë shtesë sa herë që është e nevojshme. Si rezultat, çaktivizimi i një serveri të vetëm komandash ka pak ndikim në operacionin e përgjithshëm.

Seti i tij i gjerë i komandave tejkalon 107 komandat e dokumentuara më parë në trojanin bankar HOOK, duke reflektuar sofistikimin në rritje të malware-it bankar për Android të vëzhguar gjatë gjithë vitit 2026. Metodologjia e sulmit ndjek një model të njohur që është bërë gjithnjë e më i zakonshëm:

  • Shpërndarja përmes instaluesve të rremë të aplikacioneve.
  • Abuzimi i Shërbimeve të Aksesueshmërisë për përshkallëzimin e privilegjeve dhe kontrollin e pajisjes.
  • Përdorimi i mbivendosjeve të bazuara në HTML për të mbledhur kredencialet dhe informacione të ndjeshme.

Masat mbrojtëse mbeten kritike

Meqenëse Rokarolla është një program keqdashës dhe jo një dobësi softuerike, nuk ka asnjë përditësim sigurie të aftë për të eliminuar kërcënimin. Mbrojtja varet nga ndjekja e praktikave të vendosura të sigurisë në Android.

Aplikacionet duhet të instalohen vetëm nga Dyqani zyrtar i Google Play, Google Play Protect duhet të mbetet i aktivizuar në çdo kohë dhe çdo kërkesë e papritur për lejet e Aksesueshmërisë duhet të trajtohet si një shenjë paralajmëruese e rëndësishme. Aksesi i aksesueshmërisë shërben si themeli i zinxhirit të sulmeve të Rokarolla-s dhe aktivizon shumë nga aftësitë e tij më të rrezikshme.

Atribuimi mbetet i panjohur

Në kohën e raportimit, Rokarolla nuk është lidhur me ndonjë aktor kërcënimi të identifikuar publikisht ose grup kriminal kibernetik. Megjithatë, dizajni i tij tregon qartë një përpjekje të qëllimshme për të anashkaluar pikërisht mbrojtjet që përdoruesit e Android inkurajohen t'u besojnë, duke përfshirë Play Protect, mbrojtjet e ekranit të kyçur dhe kontrolle të tjera të integruara të sigurisë.

Aftësitë e malware-it nxjerrin në pah evolucionin e vazhdueshëm të trojanëve bankarë në Android dhe sofistikimin në rritje të kërcënimeve mobile të motivuara financiarisht.

Po ngarkohet...