הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד Rokarolla Banking Trojan

Rokarolla Banking Trojan

עד Mezo ב-תוכנה זדונית לנייד, טרויאני בנקאי
לתרגם ל:

חוקרי אבטחת סייבר זיהו טרויאן בנקאי חדש באנדרואיד המכונה Rokarolla, הקרוי על שם תשתית הפיקוד והשליטה (C2) שלו. הנוזקה נועדה לפגוע במגוון רחב של שירותים פיננסיים, עם יכולת לתקוף 217 יישומי בנקאות וקריפטו. מצויד ב-137 פקודות מרחוק, Rokarolla מספק לפושעי סייבר רמת שליטה יוצאת דופן על מכשירים שנפרצו.

לאחר ההתקנה, התוכנה הזדונית יכולה להסיר הגנות מנעילת מסך, ליירט ולשלוח הודעות SMS, לתפעל את תוכן הלוח כדי להפנות העברות של מטבעות קריפטוגרפיים, ואף להשבית את מנגנוני האבטחה המובנים של גוגל.

הפצה מוסווית באמצעות אפליקציות מזויפות

רוקרולה מופץ בעיקר דרך אתרים זדוניים המתחזים לאפליקציות לגיטימיות ופופולריות, כולל טיקטוק וגוגל כרום.

הקורבנות מורידים בתחילה אפליקציית דרופר (dropper) שמתחזה ל-Google Play Protect. על ידי ניצול המראה המהימן הזה, ה-dropper משכנע את המשתמשים להעניק הרשאות לשירות הנגישות ומקל על התקנת המטען הזדוני. לאחר הביצוע, אחת הפקודות של Rokarolla משביתה מיד את Play Protect, ובכך מבטלת שכבה חשובה של אבטחת אנדרואיד.

התקפות שכבת-על שנועדו לגנוב אישורים

גניבת אישורים מתבצעת באמצעות התקפות שכבת-על מתוחכמות. Rokarolla מאחזרת רשימה של אפליקציות ממוקדות משרת הפקודות שלה ומורידה דפי כניסה מזויפים ב-HTML התואמים לאפליקציות אלו. ממשקים מזויפים אלה מאוחסנים באופן מקומי ומוצגים בכל פעם שקורבן פותח אפליקציית בנקאות או אפליקציית קריפטו לגיטימית.

המסכים המזויפים נועדו ללכוד את כל המידע שהוזן על ידי המשתמש, כולל שמות משתמש, סיסמאות ופרטי כרטיסי תשלום. החוקרים הבחינו בדוגמה אחת שחיקתה בצורה משכנעת את אפליקציית הבנקאות 'imagin'.

הנוזקה גם פורסת שכבת מסך נעילה מזויפת של אנדרואיד המסוגלת לאסוף מספרי PIN, תבניות וסיסמאות. יכולת זו מאפשרת לתוקפים לשמור על גישה ושליטה גם כאשר המכשיר נעול.

גניבת אישורים, מעקב והונאה פיננסית בחבילה אחת

רוקרולה משלבת מנגנוני מעקב וגניבה מרובים כדי למקסם את איסוף הנתונים והרווח הכספי:

  • ניטור SMS מלא ויכולות שליחת הודעות מאפשרות יירוט של קודי גישה חד-פעמיים המשמשים לאימות בנקאי ואישור עסקאות.
  • על ידי הגדרתה כאפליקציית ברירת המחדל להודעות ושיחות במכשיר, התוכנה הזדונית יכולה לחסום שיחות נכנסות, ובכך למנוע מהקורבנות להגיע לאזהרות הונאה.
  • פונקציות משולבות של רישום מקשים ורישום מסך לוכדות את פעילות המשתמש, בעוד שאנשי קשר והתראות נאספים באופן רציף.
  • מניפולציה של הלוח מחליפה בשקט כתובות ארנקי קריפטו שהועתקו בכתובות הנשלטות על ידי התוקף, ומסיטת כספים ללא ידיעת הקורבן.

טכניקות ניטור חשאיות התחמקות מגילוי

בניגוד למשפחות רבות של תוכנות זדוניות באנדרואיד, המסתמכות על הקלטת מסך מבוססת MediaProjection, Rokarolla מאמצת אסטרטגיית מעקב שקטה יותר. במקום להפעיל התראות הקלטה גלויות, היא לוכדת צילומי מסך דרך שירותי הנגישות, דוחסת אותם לקבצי PNG ומשדרת אותם בנפרד למפעיליה.

גישה זו מפחיתה את הסבירות לגילוי ועדיין מספקת לתוקפים תמונה מפורטת של פעילות המשתמש. בהשוואה ליישומים נסתרים של VNC המשמשים משפחות תוכנות זדוניות כמו HOOK ו-Klopatra, הניטור מבוסס המסך של Rokarolla הוא גם פשוט וגם דיסקרטי יותר.

תשתית עמידה ומגמה מתרחבת של תוכנות זדוניות

התוכנה הזדונית בנויה לעמוד במאמצי שיבוש. מספר דומיינים של גיבוי פיקוד ובקרה מוטמעים בתוך הקוד, ומפעילים יכולים להקצות באופן דינמי שרתים נוספים בכל עת שצריך. כתוצאה מכך, השבתת שרת פיקוד יחיד משפיעה מעט מאוד על הפעולה הכוללת.

מערך הפקודות הנרחב שלה עולה על 107 הפקודות שתועדו בעבר בטרויאן הבנקאות HOOK, דבר המשקף את התחכום הגובר של תוכנות זדוניות לבנקאות באנדרואיד שנצפתה לאורך שנת 2026. מתודולוגיית ההתקפה עוקבת אחר דפוס מוכר שהפך נפוץ יותר ויותר:

  • הפצה באמצעות מתקיני אפליקציות מזויפים.
  • ניצול לרעה של שירותי נגישות לצורך הסלמת הרשאות ובקרת מכשירים.
  • שימוש בשכבות-על מבוססות HTML לאיסוף אישורים ומידע רגיש.

אמצעי ההגנה נותרו קריטיים

מכיוון ש-Rokarolla היא תוכנה זדונית ולא פגיעות תוכנה, אין תיקון אבטחה המסוגל לחסל את האיום. ההגנה תלויה בביצוע נהלי אבטחה מקובלים של אנדרואיד.

יש להתקין אפליקציות רק מחנות Google Play הרשמית, Google Play Protect צריך להישאר מופעל בכל עת, וכל בקשה בלתי צפויה להרשאות נגישות צריכה להיחשב כסימן אזהרה משמעותי. גישת נגישות משמשת כבסיס לשרשרת ההתקפה של Rokarolla ומאפשרת רבות מהיכולות המסוכנות ביותר שלה.

הייחוס נותר לא ידוע

נכון למועד הדיווח, Rokarolla לא נקשרה לאף גורם איום או קבוצת פושעי סייבר שזוהה בפומבי. אף על פי כן, עיצובו מדגים בבירור מאמץ מכוון לעקוף את ההגנות שמשתמשי אנדרואיד מוזמנים לסמוך עליהן, כולל Play Protect, אמצעי הגנה על נעילת מסך ובקרות אבטחה מובנות אחרות.

יכולותיה של הנוזקה מדגישות את האבולוציה המתמשכת של סוסים טרויאניים לבנקאות באנדרואיד ואת התחכום הגובר של איומים ניידים בעלי מוטיבציה כלכלית.

טוען...