Rokarolla बैंकिंग ट्रोजन

साइबर सुरक्षा शोधकर्ताओं ने रोकारोला नामक एक नए एंड्रॉइड बैंकिंग ट्रोजन की पहचान की है, जिसका नाम इसके कमांड-एंड-कंट्रोल (C2) ढांचे के नाम पर रखा गया है। यह मैलवेयर वित्तीय सेवाओं की एक विस्तृत श्रृंखला को निशाना बनाने के लिए डिज़ाइन किया गया है और इसमें 217 बैंकिंग और क्रिप्टोकरेंसी एप्लिकेशन पर हमला करने की क्षमता है। 137 रिमोट कमांड से लैस, रोकारोला साइबर अपराधियों को प्रभावित उपकरणों पर असाधारण स्तर का नियंत्रण प्रदान करता है।

एक बार इंस्टॉल हो जाने के बाद, यह मैलवेयर लॉक-स्क्रीन सुरक्षा को हटा सकता है, एसएमएस संदेशों को रोककर भेज सकता है, क्रिप्टोकरेंसी ट्रांसफर को रीडायरेक्ट करने के लिए क्लिपबोर्ड की सामग्री में हेरफेर कर सकता है, और यहां तक कि Google के अंतर्निहित सुरक्षा तंत्र को भी निष्क्रिय कर सकता है।

फर्जी आवेदनों के माध्यम से गुप्त वितरण

रोकारोला मुख्य रूप से उन दुर्भावनापूर्ण वेबसाइटों के माध्यम से वितरित किया जाता है जो टिकटॉक और गूगल क्रोम सहित वैध और लोकप्रिय एप्लिकेशन होने का दिखावा करती हैं।

पीड़ित सबसे पहले एक ड्रॉपर एप्लिकेशन डाउनलोड करते हैं जो Google Play Protect होने का दिखावा करता है। इस भरोसेमंद दिखावे का फायदा उठाकर, ड्रॉपर उपयोगकर्ताओं को एक्सेसिबिलिटी सर्विस की अनुमतियाँ देने के लिए राजी कर लेता है और दुर्भावनापूर्ण पेलोड को इंस्टॉल करने में मदद करता है। निष्पादन के बाद, Rokarolla के एक कमांड से Play Protect तुरंत निष्क्रिय हो जाता है, जिससे Android सुरक्षा की एक महत्वपूर्ण परत खत्म हो जाती है।

क्रेडेंशियल्स चुराने के लिए डिज़ाइन किए गए ओवरले हमले

क्रेडेंशियल चोरी परिष्कृत ओवरले हमलों के माध्यम से की जाती है। रोकारोला अपने कमांड सर्वर से लक्षित एप्लिकेशनों की सूची प्राप्त करता है और उन एप्लिकेशनों से संबंधित फर्जी HTML लॉगिन पेज डाउनलोड करता है। ये नकली इंटरफेस स्थानीय रूप से संग्रहीत किए जाते हैं और जब भी कोई पीड़ित वैध बैंकिंग या क्रिप्टोकरेंसी एप्लिकेशन खोलता है तो प्रदर्शित होते हैं।

ये नकली स्क्रीन उपयोगकर्ता द्वारा दर्ज की गई सभी जानकारी, जिसमें उपयोगकर्ता नाम, पासवर्ड और भुगतान कार्ड विवरण शामिल हैं, को कैप्चर करने के लिए डिज़ाइन की गई हैं। शोधकर्ताओं ने एक ऐसा उदाहरण देखा जो बैंकिंग एप्लिकेशन 'इमैजिन' की हूबहू नकल करता था।

यह मैलवेयर नकली एंड्रॉइड लॉक-स्क्रीन ओवरले भी तैनात करता है जो पिन, पैटर्न और पासवर्ड चुराने में सक्षम है। इस क्षमता के कारण हमलावर डिवाइस लॉक होने पर भी उस पर नियंत्रण बनाए रख सकते हैं।

पहचान पत्र की चोरी, निगरानी और वित्तीय धोखाधड़ी - सब एक ही पैकेज में।

रोकारोला डेटा संग्रह और वित्तीय लाभ को अधिकतम करने के लिए कई निगरानी और चोरी तंत्रों को संयोजित करता है:

• एसएमएस की पूर्ण निगरानी और संदेश भेजने की क्षमता बैंकिंग प्रमाणीकरण और लेनदेन अनुमोदन के लिए उपयोग किए जाने वाले वन-टाइम पासकोड को इंटरसेप्ट करने में सक्षम बनाती है।
• डिवाइस के डिफ़ॉल्ट मैसेजिंग और कॉलिंग एप्लिकेशन के रूप में खुद को सेट करके, मैलवेयर आने वाली कॉलों को ब्लॉक कर सकता है, जिससे संभावित रूप से पीड़ितों तक धोखाधड़ी की चेतावनियाँ पहुँचने से रोका जा सकता है।

• एकीकृत कीलॉगिंग और स्क्रीन-लॉगिंग फ़ंक्शन उपयोगकर्ता की गतिविधि को कैप्चर करते हैं, जबकि संपर्क और सूचनाएं लगातार एकत्रित की जाती हैं।

• क्लिपबोर्ड में हेरफेर करके, कॉपी किए गए क्रिप्टोकरेंसी वॉलेट पतों को हमलावर द्वारा नियंत्रित पतों से चुपचाप बदल दिया जाता है, जिससे पीड़ित की जानकारी के बिना धनराशि को डायवर्ट कर दिया जाता है।

गुप्त निगरानी तकनीकें पता लगने से बच जाती हैं

मीडियाप्रोजेक्शन-आधारित स्क्रीन रिकॉर्डिंग पर निर्भर रहने वाले कई एंड्रॉइड मैलवेयर परिवारों के विपरीत, रोकारोला एक शांत निगरानी रणनीति अपनाता है। यह दृश्य रिकॉर्डिंग सूचनाएं ट्रिगर करने के बजाय, एक्सेसिबिलिटी सर्विसेज के माध्यम से स्क्रीनशॉट कैप्चर करता है, उन्हें पीएनजी फ़ाइलों में संपीड़ित करता है, और उन्हें व्यक्तिगत रूप से अपने ऑपरेटरों को भेजता है।

यह तरीका पकड़े जाने की संभावना को कम करता है, साथ ही हमलावरों को उपयोगकर्ता की गतिविधियों का विस्तृत विवरण भी प्रदान करता है। HOOK और Klopatra जैसे मैलवेयर परिवारों द्वारा उपयोग किए जाने वाले छिपे हुए VNC कार्यान्वयनों की तुलना में, Rokarolla की स्क्रीनशॉट-आधारित निगरानी सरल और अधिक गोपनीय है।

मजबूत अवसंरचना और मैलवेयर का बढ़ता चलन

यह मैलवेयर व्यवधान प्रयासों का सामना करने के लिए बनाया गया है। कोड में कई बैकअप कमांड-एंड-कंट्रोल डोमेन एम्बेडेड हैं, और ऑपरेटर आवश्यकता पड़ने पर अतिरिक्त सर्वरों को गतिशील रूप से असाइन कर सकते हैं। परिणामस्वरूप, किसी एक कमांड सर्वर को निष्क्रिय करने से समग्र संचालन पर बहुत कम प्रभाव पड़ता है।

इसके व्यापक कमांड सेट में HOOK बैंकिंग ट्रोजन में पहले से प्रलेखित 107 कमांड से कहीं अधिक कमांड हैं, जो 2026 के दौरान देखे गए एंड्रॉइड बैंकिंग मैलवेयर की बढ़ती जटिलता को दर्शाता है। हमले की कार्यप्रणाली एक परिचित पैटर्न का अनुसरण करती है जो तेजी से आम हो गया है:

• नकली एप्लिकेशन इंस्टॉलर के माध्यम से वितरण।
• विशेषाधिकार बढ़ाने और डिवाइस नियंत्रण के लिए अभिगम्यता सेवाओं का दुरुपयोग।
• एचटीएमएल-आधारित ओवरले का उपयोग करके पहचान पत्र और संवेदनशील जानकारी एकत्र करना।

रक्षात्मक उपाय अत्यंत महत्वपूर्ण बने हुए हैं

क्योंकि रोकारोला एक मैलवेयर है न कि सॉफ्टवेयर की खामी, इसलिए इस खतरे को खत्म करने में सक्षम कोई सुरक्षा पैच उपलब्ध नहीं है। सुरक्षा के लिए एंड्रॉइड की स्थापित सुरक्षा पद्धतियों का पालन करना आवश्यक है।

एप्लिकेशन केवल आधिकारिक Google Play Store से ही इंस्टॉल किए जाने चाहिए, Google Play Protect हमेशा चालू रहना चाहिए, और एक्सेसिबिलिटी अनुमतियों के लिए किसी भी अप्रत्याशित अनुरोध को एक गंभीर चेतावनी के रूप में लिया जाना चाहिए। एक्सेसिबिलिटी एक्सेस रोकारोला के हमले की श्रृंखला का आधार है और इसकी कई सबसे खतरनाक क्षमताओं को सक्षम बनाता है।

इसका श्रेय किसे दिया गया यह अज्ञात है।

रिपोर्टिंग के समय तक, रोकारोला का किसी भी सार्वजनिक रूप से पहचाने गए साइबर अपराधी समूह या साइबर क्रिमिनल ग्रुप से कोई संबंध नहीं है। फिर भी, इसका डिज़ाइन स्पष्ट रूप से उन सुरक्षा उपायों को जानबूझकर दरकिनार करने का प्रयास दर्शाता है जिन पर एंड्रॉइड उपयोगकर्ताओं को भरोसा करने के लिए प्रोत्साहित किया जाता है, जिनमें प्ले प्रोटेक्ट, लॉक-स्क्रीन सुरक्षा और अन्य अंतर्निहित सुरक्षा नियंत्रण शामिल हैं।

इस मैलवेयर की क्षमताएं एंड्रॉइड बैंकिंग ट्रोजन के निरंतर विकास और वित्तीय उद्देश्यों से प्रेरित मोबाइल खतरों की बढ़ती जटिलता को उजागर करती हैं।