Попуст за више лиценци
Тхреат Датабасе Мобиле Малваре Рокарола банкарски тројански кон

Рокарола банкарски тројански кон

До Mezo. у Мобиле Малваре, Банкарски тројанац
Преведи на:

Истраживачи сајбер безбедности идентификовали су новог тројанског коња за банкарство за Андроид познатог као Рокарола, названог по својој командно-контролној (C2) инфраструктури. Злонамерни софтвер је дизајниран да циља широк спектар финансијских услуга, са могућношћу напада 217 банкарских и криптовалутних апликација. Опремљен са 137 даљинских команди, Рокарола пружа сајбер криминалцима изузетан ниво контроле над угроженим уређајима.

Једном инсталиран, злонамерни софтвер може уклонити заштиту закључаног екрана, пресрести и слати СМС поруке, манипулисати садржајем међуспремника како би преусмерио трансфере криптовалута, па чак и онемогућити уграђене безбедносне механизме компаније Google.

Прикривена дистрибуција путем лажних апликација

Рокарола се првенствено дистрибуира путем злонамерних веб локација које се маскирају као легитимне и популарне апликације, укључујући ТикТок и Гугл Хром.

Жртве првобитно преузимају апликацију-дропер која опонаша Google Play Protect. Искоришћавањем овог поузданог изгледа, апликација-дропер убеђује кориснике да одобре дозволе за Услугу приступачности и олакшава инсталацију злонамерног софтвера. Након извршавања, једна од Рокаролиних команди одмах онемогућава Play Protect, елиминишући важан слој безбедности Андроида.

Преклапајући напади дизајнирани за крађу акредитива

Крађа акредитива се врши путем софистицираних напада преко преклапања. Рокарола преузима листу циљаних апликација са свог командног сервера и преузима лажне HTML странице за пријаву које одговарају тим апликацијама. Ови фалсификовани интерфејси се чувају локално и приказују се кад год жртва отвори легитимну банкарску или криптовалутну апликацију.

Лажни екрани су дизајнирани да сниме све информације које корисник унесе, укључујући корисничка имена, лозинке и податке о платним картицама. Истраживачи су уочили један пример који је убедљиво имитирао банкарску апликацију „imagin“.

Злонамерни софтвер такође користи фалсификовани прекривач за закључани екран Андроида који је способан да прикупља ПИН-ове, обрасце и лозинке. Ова могућност омогућава нападачима да задрже приступ и контролу чак и када је уређај закључан.

Крађа акредитива, надзор и финансијска превара у једном пакету

Рокарола комбинује вишеструке механизме надзора и крађе како би максимизирао прикупљање података и финансијску добит:

  • Потпуно праћење СМС порука и могућности слања порука омогућавају пресретање једнократних лозинки које се користе за банкарску аутентификацију и одобравање трансакција.
  • Додељивањем себе као подразумеване апликације за размену порука и позиве на уређају, злонамерни софтвер може блокирати долазне позиве, потенцијално спречавајући упозорења о превари да дођу до жртава.
  • Интегрисане функције забележавања тастера и екрана бележе активности корисника, док се контакти и обавештења континуирано прикупљају.
  • Манипулација међуспремником тихо замењује копиране адресе криптовалутних новчаника адресама које контролише нападач, преусмеравајући средства без знања жртве.

    • Технике прикривеног праћења избегавају откривање

    За разлику од многих породица злонамерних програма за Андроид које се ослањају на снимање екрана засновано на MediaProjection-у, Rokarolla усваја тишу стратегију надзора. Уместо да покреће видљива обавештења о снимцима, снима снимке екрана путем услуга приступачности, компресује их у PNG датотеке и појединачно их преноси својим оператерима.

    Овај приступ смањује вероватноћу откривања, а истовремено пружа нападачима детаљан преглед активности корисника. У поређењу са скривеним VNC имплементацијама које користе породице злонамерних програма као што су HOOK и Klopatra, Рокароллино праћење засновано на снимцима екрана је и једноставније и дискретније.

    Отпорна инфраструктура и растући тренд злонамерног софтвера

    Злонамерни софтвер је направљен да издржи напоре за ометање рада. Више резервних домена за командовање и контролу је уграђено у код, а оператери могу динамички доделити додатне сервере кад год је потребно. Као резултат тога, онемогућавање једног командног сервера има мали утицај на целокупно пословање.

    Његов опсежан скуп команди премашује 107 команди претходно документованих код банкарског тројанца HOOK, што одражава растућу софистицираност банкарског злонамерног софтвера за Андроид који је примећен током 2026. године. Методологија напада прати познати образац који је постао све чешћи:

    • Дистрибуција путем лажних инсталатера апликација.
    • Злоупотреба услуга приступачности за ескалацију привилегија и контролу уређаја.
    • Коришћење HTML-базираних преклапања за прикупљање акредитива и осетљивих информација.

    Одбрамбене мере остају кључне

    Пошто је Рокарола малвер, а не софтверска рањивост, не постоји безбедносна закрпа која може да елиминише претњу. Заштита зависи од праћења утврђених безбедносних пракси за Андроид.

    Апликације треба инсталирати само из званичне Google Play продавнице, Google Play Protect треба да остане омогућен у сваком тренутку, а сваки неочекивани захтев за дозволе за приступачност треба третирати као значајан знак упозорења. Приступност служи као основа Rokarolla-иног ланца напада и омогућава многе од његових најопаснијих могућности.

    Атрибуција остаје непозната

    У време извештавања, Рокарола није био повезан ни са једним јавно идентификованим претњама или сајбер криминалном групом. Ипак, његов дизајн јасно показује намерни покушај да се заобиђу управо оне заштите којима се корисници Андроида подстичу да верују, укључујући Play Protect, заштитне мере закључаног екрана и друге уграђене безбедносне контроле.

    Могућности злонамерног софтвера указују на континуирану еволуцију тројанских коња за Андроид и све већу софистицираност финансијски мотивисаних мобилних претњи.

    Учитавање...