Rokarolla Bankacılık Truva Atı
Siber güvenlik araştırmacıları, komuta ve kontrol (C2) altyapısından adını alan Rokarolla adlı yeni bir Android bankacılık truva atı tespit etti. Kötü amaçlı yazılım, 217 bankacılık ve kripto para birimi uygulamasını hedef alabilecek şekilde tasarlanmış olup, geniş bir yelpazedeki finansal hizmetleri hedef almaktadır. 137 uzaktan komutla donatılmış olan Rokarolla, siber suçlulara ele geçirilen cihazlar üzerinde olağanüstü bir kontrol düzeyi sağlamaktadır.
Yüklendikten sonra, bu kötü amaçlı yazılım kilit ekranı korumalarını kaldırabilir, SMS mesajlarını ele geçirip gönderebilir, pano içeriğini değiştirerek kripto para transferlerini yönlendirebilir ve hatta Google'ın yerleşik güvenlik mekanizmalarını devre dışı bırakabilir.
İçindekiler
Sahte Uygulamalar Aracılığıyla Gizli Dağıtım
Rokarolla, öncelikle TikTok ve Google Chrome gibi meşru ve popüler uygulamalar gibi görünen kötü amaçlı web siteleri aracılığıyla yayılmaktadır.
Kurbanlar başlangıçta Google Play Protect'i taklit eden bir dropper uygulaması indirirler. Bu güvenilir görünümü kullanarak, dropper kullanıcıları Erişilebilirlik Hizmeti izinlerini vermeye ikna eder ve kötü amaçlı yazılımın kurulumunu kolaylaştırır. Çalıştırıldıktan sonra, Rokarolla'nın komutlarından biri Play Protect'i anında devre dışı bırakarak Android güvenliğinin önemli bir katmanını ortadan kaldırır.
Kimlik Bilgilerini Çalmak İçin Tasarlanmış Katmanlı Saldırılar
Kimlik bilgilerinin çalınması, gelişmiş katmanlı saldırılar yoluyla gerçekleştirilir. Rokarolla, komuta sunucusundan hedef uygulamaların bir listesini alır ve bu uygulamalara karşılık gelen sahte HTML giriş sayfalarını indirir. Bu sahte arayüzler yerel olarak saklanır ve mağdur meşru bir bankacılık veya kripto para uygulamasını her açtığında görüntülenir.
Sahte ekranlar, kullanıcı tarafından girilen tüm bilgileri (kullanıcı adları, şifreler ve ödeme kartı bilgileri dahil) ele geçirmek üzere tasarlanmıştır. Araştırmacılar, 'imagin' bankacılık uygulamasını ikna edici bir şekilde taklit eden bir örneği gözlemledi.
Bu kötü amaçlı yazılım ayrıca PIN kodlarını, desenleri ve şifreleri ele geçirebilen sahte bir Android kilit ekranı katmanı da kullanıyor. Bu özellik, saldırganların cihaz kilitliyken bile erişim ve kontrolü sürdürmelerine olanak tanıyor.
Kimlik Bilgisi Hırsızlığı, Gözetim ve Mali Dolandırıcılık Tek Pakette
Rokarolla, veri toplama ve finansal kazancı en üst düzeye çıkarmak için birden fazla gözetim ve hırsızlık mekanizmasını bir araya getiriyor:
- Tam kapsamlı SMS izleme ve mesaj gönderme özellikleri, bankacılık kimlik doğrulaması ve işlem onayları için kullanılan tek kullanımlık şifrelerin ele geçirilmesini sağlar.
- Kötü amaçlı yazılım, kendisini cihazın varsayılan mesajlaşma ve arama uygulaması olarak atayarak gelen aramaları engelleyebilir ve böylece dolandırıcılık uyarılarının mağdurlara ulaşmasını önleyebilir.
- Entegre edilmiş tuş kaydedici ve ekran kaydedici işlevleri, kullanıcı etkinliğini kaydederken, kişiler ve bildirimler sürekli olarak toplanır.
- Panoya kopyalama işlemi, kopyalanan kripto para cüzdan adreslerini saldırganın kontrolündeki adreslerle sessizce değiştirerek, mağdurun bilgisi olmadan fonları başka yöne aktarır.
Gizli İzleme Teknikleri Tespit Edilmekten Kaçınır
MediaProjection tabanlı ekran kaydına dayanan birçok Android kötü amaçlı yazılım ailesinin aksine, Rokarolla daha sessiz bir gözetim stratejisi benimser. Görünür kayıt bildirimlerini tetiklemek yerine, Erişilebilirlik Hizmetleri aracılığıyla ekran görüntüleri yakalar, bunları PNG dosyalarına sıkıştırır ve operatörlerine tek tek iletir.
Bu yaklaşım, saldırganlara kullanıcı etkinliğine dair ayrıntılı bir görünüm sağlarken tespit edilme olasılığını azaltır. HOOK ve Klopatra gibi kötü amaçlı yazılım aileleri tarafından kullanılan gizli VNC uygulamalarına kıyasla, Rokarolla'nın ekran görüntüsüne dayalı izleme yöntemi hem daha basit hem de daha gizlidir.
Dayanıklı Altyapı ve Genişleyen Kötü Amaçlı Yazılım Eğilimi
Bu kötü amaçlı yazılım, kesintiye uğratma girişimlerine karşı dayanıklı olacak şekilde tasarlanmıştır. Kodun içine birden fazla yedek komuta ve kontrol alanı yerleştirilmiştir ve operatörler ihtiyaç duyduklarında dinamik olarak ek sunucular atayabilirler. Sonuç olarak, tek bir komuta sunucusunun devre dışı bırakılması genel operasyon üzerinde çok az etkiye sahiptir.
Kapsamlı komut seti, daha önce HOOK bankacılık truva atında belgelenen 107 komutu aşarak, 2026 boyunca gözlemlenen Android bankacılık kötü amaçlı yazılımlarının artan karmaşıklığını yansıtıyor. Saldırı metodolojisi, giderek daha yaygın hale gelen tanıdık bir kalıbı izliyor:
- Sahte uygulama yükleyicileri aracılığıyla dağıtım.
- Erişilebilirlik hizmetlerinin ayrıcalık yükseltme ve cihaz kontrolü için kötüye kullanılması.
- HTML tabanlı katmanların kimlik bilgilerini ve hassas bilgileri ele geçirmek için kullanılması.
Savunma Tedbirleri Kritik Önemini Koruyor
Rokarolla bir yazılım güvenlik açığı değil, kötü amaçlı yazılım olduğu için, tehdidi ortadan kaldırabilecek bir güvenlik yaması bulunmamaktadır. Korunma, yerleşik Android güvenlik uygulamalarına uyulmasına bağlıdır.
Uygulamalar yalnızca resmi Google Play Store'dan yüklenmeli, Google Play Protect her zaman etkin kalmalı ve Erişilebilirlik izinleri için beklenmedik herhangi bir istek önemli bir uyarı işareti olarak değerlendirilmelidir. Erişilebilirlik erişimi, Rokarolla'nın saldırı zincirinin temelini oluşturur ve en tehlikeli yeteneklerinin çoğunu mümkün kılar.
Kimin sorumlu olduğu bilinmiyor.
Haberin yayınlandığı sırada Rokarolla'nın kamuoyuna açık herhangi bir tehdit aktörü veya siber suç grubuyla bağlantısı bulunmamaktadır. Bununla birlikte, tasarımı, Play Protect, kilit ekranı korumaları ve diğer yerleşik güvenlik kontrolleri de dahil olmak üzere Android kullanıcılarının güvenmesi teşvik edilen korumaları kasıtlı olarak atlatma çabasını açıkça göstermektedir.
Bu kötü amaçlı yazılımın yetenekleri, Android bankacılık truva atlarının sürekli evrimini ve finansal motivasyonlu mobil tehditlerin artan karmaşıklığını vurgulamaktadır.
