Bankovní trojan Rokarolla

V roce Mezo v roce Mobilní malware, Bankovní Trojan

Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali nového bankovního trojana pro Android, známého jako Rokarolla, pojmenovaného podle své infrastruktury Command-and-Control (C2). Malware je navržen tak, aby cílil na širokou škálu finančních služeb a je schopen napadnout 217 bankovních a kryptoměnových aplikací. Rokarolla, vybavený 137 vzdálenými příkazy, poskytuje kyberzločincům výjimečnou úroveň kontroly nad napadenými zařízeními.

Po instalaci dokáže malware odstranit ochranu zamykací obrazovky, zachytit a odeslat SMS zprávy, manipulovat s obsahem schránky za účelem přesměrování převodů kryptoměn a dokonce deaktivovat vestavěné bezpečnostní mechanismy Googlu.

Obsah

Skrytá distribuce prostřednictvím falešných aplikací

Rokarolla se distribuuje především prostřednictvím škodlivých webových stránek maskovaných jako legitimní a populární aplikace, včetně TikToku a Google Chrome.

Oběti si nejprve stáhnou aplikaci, která se vydává za Google Play Protect. Využitím této důvěryhodné podoby aplikace přesvědčí uživatele k udělení oprávnění službě Accessibility Service a usnadní instalaci škodlivého obsahu. Po spuštění jeden z příkazů aplikace Rokarolla okamžitě deaktivuje Play Protect, čímž eliminuje důležitou vrstvu zabezpečení systému Android.

Překryvné útoky určené k odcizení přihlašovacích údajů

Krádež přihlašovacích údajů se provádí pomocí sofistikovaných overlay útoků. Rokarolla získává seznam cílových aplikací ze svého řídicího serveru a stahuje podvodné přihlašovací stránky HTML odpovídající těmto aplikacím. Tato padělaná rozhraní jsou uložena lokálně a zobrazují se vždy, když oběť otevře legitimní bankovní nebo kryptoměnovou aplikaci.

Falešné obrazovky jsou navrženy tak, aby zachytily všechny informace zadané uživatelem, včetně uživatelských jmen, hesel a údajů o platebních kartách. Výzkumníci pozorovali jeden příklad, který přesvědčivě napodoboval bankovní aplikaci „imagin“.

Malware také nasazuje falešnou překryvnou vrstvu na zamykací obrazovce systému Android, která je schopna shromažďovat PINy, vzory a hesla. Tato funkce umožňuje útočníkům udržet si přístup a kontrolu, i když je zařízení uzamčeno.

Krádež přihlašovacích údajů, sledování a finanční podvody v jednom balíčku

Rokarolla kombinuje několik mechanismů sledování a krádeže, aby maximalizovala sběr dat a finanční zisk:

Plné monitorování SMS zpráv a odesílání zpráv umožňuje zachycení jednorázových hesel používaných pro bankovní ověřování a schvalování transakcí.
Tím, že se malware nastaví jako výchozí aplikace pro zasílání zpráv a volání v zařízení, může blokovat příchozí hovory, a potenciálně tak zabránit tomu, aby se varování o podvodech dostala k obětem.

Integrované funkce keylogging a screenlogging zachycují aktivitu uživatelů, zatímco kontakty a oznámení jsou průběžně shromažďovány.

Manipulace se schránkou tiše nahrazuje zkopírované adresy kryptoměnových peněženek adresami ovládanými útočníkem, čímž odvádí finanční prostředky bez vědomí oběti.

Techniky nenápadného monitorování se vyhýbají detekci

Na rozdíl od mnoha rodin malwaru pro Android, které se spoléhají na nahrávání obrazovky pomocí MediaProjection, Rokarolla používá tišší strategii sledování. Místo spouštění viditelných oznámení o nahrávání pořizuje snímky obrazovky prostřednictvím služeb Accessibility Services, komprimuje je do souborů PNG a jednotlivě je odesílá svým operátorům.

Tento přístup snižuje pravděpodobnost odhalení a zároveň útočníkům poskytuje detailní přehled o aktivitě uživatelů. Ve srovnání se skrytými implementacemi VNC používanými malwarovými rodinami, jako jsou HOOK a Klopatra, je monitorování založené na snímcích obrazovky v Rokarolle jednodušší a diskrétnější.

Odolná infrastruktura a rostoucí trend malwaru

Malware je navržen tak, aby odolal narušení provozu. V kódu je zabudováno několik záložních domén pro řízení a vyhodnocování (CAM) a operátoři mohou dynamicky přiřazovat další servery, kdykoli je to potřeba. V důsledku toho má deaktivace jediného velitelského serveru jen malý dopad na celkový provoz.

Jeho rozsáhlá sada příkazů překračuje 107 příkazů dříve zdokumentovaných u bankovního trojského koně HOOK, což odráží rostoucí sofistikovanost bankovního malwaru pro Android, která byla pozorována v průběhu roku 2026. Metodologie útoku se řídí známým vzorem, který se stává stále běžnějším:

Distribuce prostřednictvím falešných instalačních programů aplikací.
Zneužívání služeb přístupnosti pro eskalaci oprávnění a kontrolu zařízení.
Použití překryvů založených na HTML pro shromažďování přihlašovacích údajů a citlivých informací.

Obranná opatření zůstávají klíčová

Protože Rokarolla je spíše malware než softwarová zranitelnost, neexistuje žádná bezpečnostní záplata, která by tuto hrozbu dokázala eliminovat. Ochrana závisí na dodržování zavedených bezpečnostních postupů systému Android.

Aplikace by měly být instalovány pouze z oficiálního Obchodu Google Play, Google Play Protect by měl zůstat vždy zapnutý a jakýkoli neočekávaný požadavek na oprávnění přístupnosti by měl být považován za významný varovný signál. Přístup přístupnosti slouží jako základ útočného řetězce Rokarolly a umožňuje mnoho z jejích nejnebezpečnějších funkcí.

Atribuce zůstává neznámá

V době zveřejnění zprávy nebyla společnost Rokarolla spojena s žádným veřejně identifikovaným aktérem hrozby ani kyberzločinnou skupinou. Nicméně její design jasně ukazuje úmyslnou snahu obejít právě ty ochrany, kterým jsou uživatelé systému Android doporučováni důvěřovat, včetně služby Play Protect, ochrany zamykací obrazovky a dalších vestavěných bezpečnostních prvků.

Schopnosti malwaru zdůrazňují pokračující vývoj bankovních trojských koní pro Android a rostoucí sofistikovanost finančně motivovaných mobilních hrozeb.

Procesor plateb společnosti EnigmaSoft Digital River GmbH Vyhlášení bankrotu nemá dopad na ochranu zákazníků SpyHunter proti malwaru

Vyhledávání

Změnit region