Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Τραπεζικό Trojan Rokarolla

Τραπεζικό Trojan Rokarolla

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Τραπεζικός Trojan
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας εντόπισαν ένα νέο trojan τραπεζικών συναλλαγών Android, γνωστό ως Rokarolla, το οποίο πήρε το όνομά του από την υποδομή Command-and-Control (C2) που διαθέτει. Το κακόβουλο λογισμικό έχει σχεδιαστεί για να στοχεύει ένα ευρύ φάσμα χρηματοοικονομικών υπηρεσιών, με την ικανότητα να επιτίθεται σε 217 τραπεζικές εφαρμογές και εφαρμογές κρυπτονομισμάτων. Εξοπλισμένο με 137 απομακρυσμένες εντολές, το Rokarolla παρέχει στους κυβερνοεγκληματίες ένα εξαιρετικό επίπεδο ελέγχου επί των παραβιασμένων συσκευών.

Μόλις εγκατασταθεί, το κακόβουλο λογισμικό μπορεί να καταργήσει τις προστασίες κλειδώματος οθόνης, να υποκλέψει και να στείλει μηνύματα SMS, να χειραγωγήσει τα περιεχόμενα του προχείρου για να ανακατευθύνει τις μεταφορές κρυπτονομισμάτων, ακόμη και να απενεργοποιήσει τους ενσωματωμένους μηχανισμούς ασφαλείας της Google.

Συγκαλυμμένη Διανομή Μέσω Ψεύτικων Εφαρμογών

Το Rokarolla διανέμεται κυρίως μέσω κακόβουλων ιστότοπων που μεταμφιέζονται σε νόμιμες και δημοφιλείς εφαρμογές, συμπεριλαμβανομένων των TikTok και Google Chrome.

Τα θύματα αρχικά κατεβάζουν μια εφαρμογή dropper που μιμείται το Google Play Protect. Εκμεταλλευόμενοι αυτήν την αξιόπιστη εμφάνιση, το dropper πείθει τους χρήστες να παραχωρήσουν δικαιώματα στην Υπηρεσία Προσβασιμότητας και διευκολύνει την εγκατάσταση του κακόβουλου φορτίου. Μετά την εκτέλεση, μία από τις εντολές του Rokarolla απενεργοποιεί αμέσως το Play Protect, εξαλείφοντας ένα σημαντικό επίπεδο ασφάλειας Android.

Επιθέσεις επικάλυψης σχεδιασμένες για κλοπή διαπιστευτηρίων

Η κλοπή διαπιστευτηρίων πραγματοποιείται μέσω εξελιγμένων επιθέσεων επικάλυψης. Το Rokarolla ανακτά μια λίστα στοχευμένων εφαρμογών από τον διακομιστή εντολών του και κατεβάζει δόλιες σελίδες σύνδεσης HTML που αντιστοιχούν σε αυτές τις εφαρμογές. Αυτές οι πλαστές διεπαφές αποθηκεύονται τοπικά και εμφανίζονται κάθε φορά που ένα θύμα ανοίγει μια νόμιμη τραπεζική εφαρμογή ή εφαρμογή κρυπτονομισμάτων.

Οι ψεύτικες οθόνες έχουν σχεδιαστεί για να καταγράφουν όλες τις πληροφορίες που εισάγει ο χρήστης, συμπεριλαμβανομένων των ονομάτων χρήστη, των κωδικών πρόσβασης και των στοιχείων της κάρτας πληρωμής. Οι ερευνητές παρατήρησαν ένα παράδειγμα που μιμούνταν πειστικά την τραπεζική εφαρμογή «imagin».

Το κακόβουλο λογισμικό αναπτύσσει επίσης μια πλαστή επικάλυψη οθόνης κλειδώματος Android ικανή να συλλέγει PIN, μοτίβα και κωδικούς πρόσβασης. Αυτή η δυνατότητα επιτρέπει στους εισβολείς να διατηρούν πρόσβαση και έλεγχο ακόμα και όταν η συσκευή είναι κλειδωμένη.

Κλοπή διαπιστευτηρίων, επιτήρηση και οικονομική απάτη σε ένα πακέτο

Το Rokarolla συνδυάζει πολλαπλούς μηχανισμούς επιτήρησης και κλοπής για να μεγιστοποιήσει τη συλλογή δεδομένων και το οικονομικό κέρδος:

  • Οι πλήρεις δυνατότητες παρακολούθησης SMS και αποστολής μηνυμάτων επιτρέπουν την υποκλοπή κωδικών πρόσβασης μιας χρήσης που χρησιμοποιούνται για τραπεζικό έλεγχο ταυτότητας και έγκριση συναλλαγών.
  • Ορίζοντας τον εαυτό του ως την προεπιλεγμένη εφαρμογή ανταλλαγής μηνυμάτων και κλήσεων της συσκευής, το κακόβουλο λογισμικό μπορεί να μπλοκάρει τις εισερχόμενες κλήσεις, ενδεχομένως εμποδίζοντας τις προειδοποιήσεις απάτης να φτάσουν στα θύματα.
  • Οι ενσωματωμένες λειτουργίες καταγραφής πλήκτρων και οθόνης καταγράφουν τη δραστηριότητα των χρηστών, ενώ οι επαφές και οι ειδοποιήσεις συλλέγονται συνεχώς.
  • Ο χειρισμός του πρόχειρου αντικαθιστά σιωπηλά τις αντιγραμμένες διευθύνσεις πορτοφολιών κρυπτονομισμάτων με διευθύνσεις που ελέγχονται από τον εισβολέα, εκτρέποντας κεφάλαια εν αγνοία του θύματος.

    • Οι κρυφές τεχνικές παρακολούθησης αποφεύγουν την ανίχνευση

    Σε αντίθεση με πολλές οικογένειες κακόβουλου λογισμικού Android που βασίζονται στην εγγραφή οθόνης που βασίζεται στο MediaProjection, το Rokarolla υιοθετεί μια πιο αθόρυβη στρατηγική επιτήρησης. Αντί να ενεργοποιεί ορατές ειδοποιήσεις εγγραφής, καταγράφει στιγμιότυπα οθόνης μέσω των Υπηρεσιών Προσβασιμότητας, τα συμπιέζει σε αρχεία PNG και τα μεταδίδει ξεχωριστά στους χειριστές του.

    Αυτή η προσέγγιση μειώνει την πιθανότητα ανίχνευσης, παρέχοντας παράλληλα στους εισβολείς μια λεπτομερή εικόνα της δραστηριότητας των χρηστών. Σε σύγκριση με τις κρυφές εφαρμογές VNC που χρησιμοποιούνται από οικογένειες κακόβουλου λογισμικού όπως το HOOK και το Klopatra, η παρακολούθηση που βασίζεται σε στιγμιότυπα οθόνης του Rokarolla είναι απλούστερη και πιο διακριτική.

    Ανθεκτική υποδομή και μια αυξανόμενη τάση κακόβουλου λογισμικού

    Το κακόβουλο λογισμικό έχει σχεδιαστεί για να αντέχει σε προσπάθειες διακοπής. Πολλαπλοί τομείς δημιουργίας αντιγράφων ασφαλείας εντολών και ελέγχου είναι ενσωματωμένοι στον κώδικα και οι χειριστές μπορούν να εκχωρήσουν δυναμικά πρόσθετους διακομιστές όποτε χρειάζεται. Ως αποτέλεσμα, η απενεργοποίηση ενός μόνο διακομιστή εντολών έχει μικρό αντίκτυπο στη συνολική λειτουργία.

    Το εκτεταμένο σύνολο εντολών του υπερβαίνει τις 107 εντολές που έχουν καταγραφεί προηγουμένως στο HOOK banking trojan, αντανακλώντας την αυξανόμενη πολυπλοκότητα του κακόβουλου λογισμικού για τραπεζικές εφαρμογές Android που παρατηρήθηκε καθ' όλη τη διάρκεια του 2026. Η μεθοδολογία της επίθεσης ακολουθεί ένα οικείο μοτίβο που έχει γίνει ολοένα και πιο συνηθισμένο:

    • Διανομή μέσω ψεύτικων εγκαταστατών εφαρμογών.
    • Κατάχρηση Υπηρεσιών Προσβασιμότητας για κλιμάκωση δικαιωμάτων και έλεγχο συσκευών.
    • Χρήση επικαλύψεων που βασίζονται σε HTML για τη συλλογή διαπιστευτηρίων και ευαίσθητων πληροφοριών.

    Τα αμυντικά μέτρα παραμένουν κρίσιμα

    Επειδή το Rokarolla είναι κακόβουλο λογισμικό και όχι ευπάθεια λογισμικού, δεν υπάρχει κάποια ενημέρωση κώδικα ασφαλείας ικανή να εξαλείψει την απειλή. Η προστασία εξαρτάται από την τήρηση των καθιερωμένων πρακτικών ασφαλείας Android.

    Οι εφαρμογές θα πρέπει να εγκαθίστανται μόνο από το επίσημο Google Play Store, το Google Play Protect θα πρέπει να παραμένει ενεργοποιημένο ανά πάσα στιγμή και οποιοδήποτε απροσδόκητο αίτημα για δικαιώματα προσβασιμότητας θα πρέπει να αντιμετωπίζεται ως σημαντικό προειδοποιητικό σημάδι. Η πρόσβαση προσβασιμότητας χρησιμεύει ως η βάση της αλυσίδας επίθεσης του Rokarolla και ενεργοποιεί πολλές από τις πιο επικίνδυνες δυνατότητές του.

    Η απόδοση παραμένει άγνωστη

    Κατά τη στιγμή της αναφοράς, το Rokarolla δεν έχει συνδεθεί με κανέναν δημόσια αναγνωρισμένο παράγοντα απειλής ή ομάδα κυβερνοεγκλημάτων. Παρ' όλα αυτά, ο σχεδιασμός του καταδεικνύει σαφώς μια σκόπιμη προσπάθεια παράκαμψης των ίδιων των προστασιών που οι χρήστες Android ενθαρρύνονται να εμπιστεύονται, συμπεριλαμβανομένου του Play Protect, των προστατευτικών μέτρων κλειδώματος οθόνης και άλλων ενσωματωμένων ελέγχων ασφαλείας.

    Οι δυνατότητες του κακόβουλου λογισμικού υπογραμμίζουν τη συνεχή εξέλιξη των τραπεζικών trojan για Android και την αυξανόμενη πολυπλοκότητα των απειλών για κινητά με οικονομικά κίνητρα.

    Φόρτωση...