Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara Rokarolla Banking Trojan

Rokarolla Banking Trojan

Med Mezo år Mobil skadlig programvara, Banktrojan
Översätt till:

Cybersäkerhetsforskare har identifierat en ny Android-banktrojan känd som Rokarolla, uppkallad efter dess Command-and-Control (C2)-infrastruktur. Skadlig programvara är utformad för att rikta in sig på ett brett spektrum av finansiella tjänster, med förmågan att attackera 217 bank- och kryptovalutaapplikationer. Utrustad med 137 fjärrkommandon ger Rokarolla cyberbrottslingar en exceptionell nivå av kontroll över komprometterade enheter.

När den skadliga programvaran har installerats kan den ta bort låsskärmsskydd, avlyssna och skicka SMS-meddelanden, manipulera innehållet i urklipp för att omdirigera kryptovalutaöverföringar och till och med inaktivera Googles inbyggda säkerhetsmekanismer.

Förklädd distribution genom falska applikationer

Rokarolla distribueras främst via skadliga webbplatser som utger sig för att vara legitima och populära applikationer, inklusive TikTok och Google Chrome.

Offren laddar först ner en dropper-applikation som utger sig för att vara Google Play Protect. Genom att utnyttja detta betrodda utseende övertalar dropper-applikationen användare att ge behörighet till Tillgänglighetstjänsten och underlättar installationen av den skadliga nyttolasten. Efter körning inaktiverar ett av Rokarollas kommandon omedelbart Play Protect, vilket eliminerar ett viktigt lager av Android-säkerhet.

Overlay-attacker utformade för att stjäla autentiseringsuppgifter

Stöld av autentiseringsuppgifter utförs genom sofistikerade overlay-attacker. Rokarolla hämtar en lista över riktade applikationer från sin kommandoserver och laddar ner bedrägliga HTML-inloggningssidor som motsvarar dessa appar. Dessa förfalskade gränssnitt lagras lokalt och visas varje gång ett offer öppnar en legitim bank- eller kryptovalutaapplikation.

De falska skärmarna är utformade för att fånga all information som användaren anger, inklusive användarnamn, lösenord och betalkortsuppgifter. Forskarna observerade ett exempel som övertygande imiterade bankapplikationen 'imagin'.

Skadlig programvara använder också ett förfalskat Android-låsskärmsöverlägg som kan samla in PIN-koder, mönster och lösenord. Denna funktion gör det möjligt för angripare att behålla åtkomst och kontroll även när enheten är låst.

Stöld av autentiseringsuppgifter, övervakning och ekonomiskt bedrägeri i ett paket

Rokarolla kombinerar flera övervaknings- och stöldmekanismer för att maximera datainsamling och ekonomisk vinst:

  • Fullständig SMS-övervakning och meddelandesändning möjliggör avlyssning av engångslösenord som används för bankautentisering och transaktionsgodkännanden.
  • Genom att ange sig själv som enhetens standardmeddelande- och samtalsprogram kan skadlig programvara blockera inkommande samtal, vilket potentiellt förhindrar att bedrägerivarningar når offren.
  • Integrerade funktioner för tangentloggning och skärmloggning registrerar användaraktivitet, medan kontakter och aviseringar kontinuerligt samlas in.
  • Manipulering av urklipp ersätter i tysthet kopierade adresser i kryptovalutaplånböcker med adresser som kontrolleras av angriparen, vilket omdirigerar pengar utan offrets vetskap.

Smygande övervakningstekniker Undviker upptäckt

Till skillnad från många familjer av Android-skadlig kod som förlitar sig på MediaProjection-baserad skärminspelning, använder Rokarolla en tystare övervakningsstrategi. Istället för att utlösa synliga inspelningsaviseringar, tar den skärmdumpar via Accessibility Services, komprimerar dem till PNG-filer och skickar dem individuellt till sina operatörer.

Denna metod minskar sannolikheten för upptäckt samtidigt som den ger angripare en detaljerad bild av användaraktivitet. Jämfört med dolda VNC-implementeringar som används av skadliga programfamiljer som HOOK och Klopatra är Rokarollas skärmdumpsbaserade övervakning både enklare och mer diskret.

Motståndskraftig infrastruktur och en växande trend med skadlig kod

Den skadliga programvaran är byggd för att motstå störningar. Flera säkerhetskopierade kommando- och kontrolldomäner är inbäddade i koden, och operatörer kan dynamiskt tilldela ytterligare servrar när det behövs. Som ett resultat har inaktivering av en enskild kommandoserver liten inverkan på den övergripande driften.

Dess omfattande kommandouppsättning överstiger de 107 kommandon som tidigare dokumenterats i banktrojanen HOOK, vilket återspeglar den växande sofistikeringen av Android-bankprogramvara som observerades under 2026. Attackmetoden följer ett välbekant mönster som har blivit allt vanligare:

  • Distribution via falska programinstallatörer.
  • Missbruk av tillgänglighetstjänster för eskalering av privilegier och enhetskontroll.
  • Användning av HTML-baserade överlägg för att samla in autentiseringsuppgifter och känslig information.

Försvarsåtgärder är fortfarande kritiska

Eftersom Rokarolla är skadlig kod snarare än en sårbarhet i programvaran finns det ingen säkerhetsuppdatering som kan eliminera hotet. Skyddet är beroende av att man följer etablerade Android-säkerhetspraxis.

Appar bör endast installeras från den officiella Google Play Store, Google Play Protect bör vara aktiverat hela tiden och alla oväntade begäranden om tillgänglighetsbehörigheter bör behandlas som en viktig varningstecken. Tillgänglighetsåtkomst fungerar som grunden för Rokarollas attackkedja och möjliggör många av dess farligaste funktioner.

Tillskrivningen förblir okänd

Vid tidpunkten för rapporteringen har Rokarolla inte kopplats till någon offentligt identifierad hotaktör eller cyberkriminell grupp. Trots detta visar dess design tydligt en avsiktlig ansträngning att kringgå just de skydd som Android-användare uppmuntras att lita på, inklusive Play Protect, låsskärmsskydd och andra inbyggda säkerhetskontroller.

Den skadliga programvarans kapacitet belyser den fortsatta utvecklingen av Android-banktrojaner och den ökande sofistikeringen av ekonomiskt motiverade mobilhot.

Mest sedda

Läser in...