قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل تروجان بانکی Rokarolla

تروجان بانکی Rokarolla

تا Mezo در بدافزار موبایل, تروجان بانکی
ترجمه به:

محققان امنیت سایبری یک تروجان بانکی جدید اندروید به نام Rokarolla را شناسایی کرده‌اند که نام آن از زیرساخت فرماندهی و کنترل (C2) آن گرفته شده است. این بدافزار برای هدف قرار دادن طیف گسترده‌ای از خدمات مالی طراحی شده است و توانایی حمله به ۲۱۷ برنامه بانکی و ارز دیجیتال را دارد. Rokarolla که مجهز به ۱۳۷ دستور از راه دور است، سطح استثنایی از کنترل را بر روی دستگاه‌های آسیب‌دیده در اختیار مجرمان سایبری قرار می‌دهد.

این بدافزار پس از نصب می‌تواند قفل صفحه نمایش را از بین ببرد، پیامک‌ها را رهگیری و ارسال کند، محتوای کلیپ‌بورد را دستکاری کند تا انتقال ارزهای دیجیتال را تغییر مسیر دهد و حتی مکانیسم‌های امنیتی داخلی گوگل را غیرفعال کند.

توزیع پنهان از طریق برنامه‌های جعلی

Rokarolla عمدتاً از طریق وب‌سایت‌های مخرب که خود را به عنوان برنامه‌های قانونی و محبوب، از جمله TikTok و Google Chrome، جا می‌زنند، توزیع می‌شود.

قربانیان در ابتدا یک برنامه‌ی dropper را دانلود می‌کنند که خود را به جای Google Play Protect جا می‌زند. با سوءاستفاده از این ظاهر قابل اعتماد، dropper کاربران را متقاعد می‌کند که مجوزهای Accessibility Service را اعطا کنند و نصب payload مخرب را تسهیل می‌کند. پس از اجرا، یکی از دستورات Rokarolla بلافاصله Play Protect را غیرفعال می‌کند و یک لایه مهم از امنیت اندروید را از بین می‌برد.

حملات همپوشانی که برای سرقت اعتبارنامه‌ها طراحی شده‌اند

سرقت اعتبارنامه از طریق حملات پیچیده‌ی همپوشانی انجام می‌شود. Rokarolla فهرستی از برنامه‌های هدف را از سرور فرماندهی خود بازیابی می‌کند و صفحات ورود HTML جعلی مربوط به آن برنامه‌ها را دانلود می‌کند. این رابط‌های جعلی به صورت محلی ذخیره می‌شوند و هر زمان که قربانی یک برنامه‌ی بانکی یا ارز دیجیتال قانونی را باز می‌کند، نمایش داده می‌شوند.

این صفحات جعلی به گونه‌ای طراحی شده‌اند که تمام اطلاعات وارد شده توسط کاربر، از جمله نام کاربری، رمز عبور و جزئیات کارت پرداخت را ضبط کنند. محققان یک نمونه را مشاهده کردند که به طور قانع‌کننده‌ای از برنامه بانکی «imagin» تقلید می‌کرد.

این بدافزار همچنین یک لایه قفل صفحه جعلی اندروید را مستقر می‌کند که قادر به جمع‌آوری پین‌ها، الگوها و رمزهای عبور است. این قابلیت به مهاجمان اجازه می‌دهد حتی در صورت قفل بودن دستگاه، دسترسی و کنترل خود را حفظ کنند.

سرقت اطلاعات، نظارت و کلاهبرداری مالی در یک بسته

روکارولا چندین مکانیسم نظارت و سرقت را برای به حداکثر رساندن جمع‌آوری داده‌ها و سود مالی ترکیب می‌کند:

  • قابلیت‌های کامل نظارت بر پیامک و ارسال پیام، امکان رهگیری رمزهای عبور یکبار مصرف مورد استفاده برای احراز هویت بانکی و تأیید تراکنش‌ها را فراهم می‌کند.
  • این بدافزار با اختصاص دادن خود به عنوان برنامه پیش‌فرض پیام‌رسانی و تماس دستگاه، می‌تواند تماس‌های ورودی را مسدود کند و به طور بالقوه از رسیدن هشدارهای کلاهبرداری به قربانیان جلوگیری کند.
  • عملکردهای یکپارچه ثبت کلید و ثبت صفحه نمایش، فعالیت کاربر را ثبت می‌کنند، در حالی که مخاطبین و اعلان‌ها به طور مداوم جمع‌آوری می‌شوند.
  • دستکاری کلیپ‌بورد، آدرس‌های کیف پول ارزهای دیجیتال کپی‌شده را بی‌سروصدا با آدرس‌های تحت کنترل مهاجم جایگزین می‌کند و بدون اطلاع قربانی، وجوه را به سرقت می‌برد.

    • تکنیک‌های نظارت مخفیانه برای جلوگیری از شناسایی

    برخلاف بسیاری از خانواده‌های بدافزار اندرویدی که به ضبط صفحه نمایش مبتنی بر MediaProjection متکی هستند، Rokarolla یک استراتژی نظارتی بی‌سروصداتر را اتخاذ می‌کند. به جای فعال کردن اعلان‌های ضبط قابل مشاهده، از طریق سرویس‌های دسترسی، اسکرین‌شات می‌گیرد، آنها را در فایل‌های PNG فشرده می‌کند و به صورت جداگانه برای اپراتورهای خود ارسال می‌کند.

    این رویکرد احتمال شناسایی را کاهش می‌دهد و در عین حال نمای دقیقی از فعالیت کاربر را در اختیار مهاجمان قرار می‌دهد. در مقایسه با پیاده‌سازی‌های پنهان VNC که توسط خانواده‌های بدافزاری مانند HOOK و Klopatra استفاده می‌شوند، نظارت مبتنی بر تصویر Rokarolla هم ساده‌تر و هم نامحسوس‌تر است.

    زیرساخت‌های مقاوم و روند رو به رشد بدافزارها

    این بدافزار طوری ساخته شده است که در برابر تلاش‌های اختلال‌زا مقاومت کند. چندین دامنه‌ی پشتیبان فرمان و کنترل در کد تعبیه شده است و اپراتورها می‌توانند به صورت پویا سرورهای اضافی را در صورت نیاز اختصاص دهند. در نتیجه، غیرفعال کردن یک سرور فرمان تأثیر کمی بر کل عملیات دارد.

    مجموعه دستورات گسترده آن از ۱۰۷ دستوری که قبلاً در تروجان بانکی HOOK مستند شده بود، فراتر می‌رود و این نشان دهنده پیچیدگی روزافزون بدافزارهای بانکی اندروید مشاهده شده در طول سال ۲۰۲۶ است. روش حمله از الگوی آشنایی پیروی می‌کند که به طور فزاینده‌ای رایج شده است:

    • توزیع از طریق نصب‌کننده‌های جعلی برنامه‌ها.
    • سوءاستفاده از سرویس‌های دسترسی برای افزایش امتیاز و کنترل دستگاه.
    • استفاده از پوشش‌های مبتنی بر HTML برای جمع‌آوری اطلاعات حساس و اعتبارنامه‌ها.

    اقدامات دفاعی همچنان حیاتی هستند

    از آنجا که Rokarolla یک بدافزار است و نه یک آسیب‌پذیری نرم‌افزاری، هیچ وصله امنیتی برای از بین بردن این تهدید وجود ندارد. محافظت در برابر آن به پیروی از رویه‌های امنیتی اندروید بستگی دارد.

    برنامه‌ها فقط باید از فروشگاه رسمی گوگل پلی نصب شوند، گوگل پلی پروتکت باید همیشه فعال بماند و هرگونه درخواست غیرمنتظره برای مجوزهای دسترسی باید به عنوان یک علامت هشدار مهم در نظر گرفته شود. دسترسی به دسترسی، اساس زنجیره حمله Rokarolla را تشکیل می‌دهد و بسیاری از قابلیت‌های خطرناک آن را فعال می‌کند.

    انتساب همچنان ناشناخته است

    در زمان تهیه این گزارش، Rokarolla به هیچ عامل تهدید یا گروه مجرمان سایبری که به طور عمومی شناسایی شده باشد، مرتبط نبوده است. با این وجود، طراحی آن به وضوح نشان دهنده تلاشی عمدی برای دور زدن همان محافظت‌هایی است که کاربران اندروید به اعتماد به آنها تشویق می‌شوند، از جمله Play Protect، محافظ‌های قفل صفحه و سایر کنترل‌های امنیتی داخلی.

    قابلیت‌های این بدافزار، تکامل مداوم تروجان‌های بانکی اندروید و پیچیدگی روزافزون تهدیدات موبایل با انگیزه‌های مالی را برجسته می‌کند.

    بارگذاری...