Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware Rokarolla bankarski trojanac

Rokarolla bankarski trojanac

Do Mezo. Mobilni malware, Bankarski trojanac. godine
Prevedi na:

Istraživači kibernetičke sigurnosti identificirali su novi Android bankarski trojanac poznat kao Rokarolla, nazvan po svojoj Command-and-Control (C2) infrastrukturi. Zlonamjerni softver dizajniran je za ciljanje širokog raspona financijskih usluga, s mogućnošću napada na 217 bankarskih i kriptovalutnih aplikacija. Opremljen sa 137 udaljenih naredbi, Rokarolla pruža kibernetičkim kriminalcima iznimnu razinu kontrole nad kompromitiranim uređajima.

Nakon instalacije, zlonamjerni softver može ukloniti zaštitu zaključanog zaslona, presresti i slati SMS poruke, manipulirati sadržajem međuspremnika kako bi preusmjerio prijenose kriptovaluta, pa čak i onemogućiti ugrađene sigurnosne mehanizme tvrtke Google.

Prikrivena distribucija putem lažnih aplikacija

Rokarolla se prvenstveno distribuira putem zlonamjernih web stranica koje se maskiraju kao legitimne i popularne aplikacije, uključujući TikTok i Google Chrome.

Žrtve prvo preuzimaju aplikaciju koja se lažno predstavlja kao Google Play Protect. Iskorištavanjem ovog pouzdanog izgleda, aplikacija nagovara korisnike da odobre dopuštenja Usluzi pristupačnosti i olakšava instalaciju zlonamjernog sadržaja. Nakon izvršenja, jedna od Rokarollinih naredbi odmah onemogućuje Play Protect, eliminirajući važan sloj sigurnosti Androida.

Prekrivajući napadi osmišljeni za krađu vjerodajnica

Krađa vjerodajnica provodi se putem sofisticiranih napada s preklapanjem. Rokarolla dohvaća popis ciljanih aplikacija sa svog naredbenog poslužitelja i preuzima lažne HTML stranice za prijavu koje odgovaraju tim aplikacijama. Ova krivotvorena sučelja pohranjuju se lokalno i prikazuju se kad god žrtva otvori legitimnu bankarsku ili kriptovalutnu aplikaciju.

Lažni ekrani su dizajnirani za hvatanje svih podataka koje korisnik unese, uključujući korisnička imena, lozinke i podatke o platnoj kartici. Istraživači su uočili jedan primjer koji je uvjerljivo oponašao bankarsku aplikaciju 'imagin'.

Zlonamjerni softver također koristi krivotvoreni sloj za zaključavanje Android zaslona koji može prikupljati PIN-ove, uzorke i lozinke. Ova mogućnost omogućuje napadačima da održe pristup i kontrolu čak i kada je uređaj zaključan.

Krađa vjerodajnica, nadzor i financijska prijevara u jednom paketu

Rokarolla kombinira više mehanizama nadzora i krađe kako bi maksimizirao prikupljanje podataka i financijsku dobit:

  • Potpuno praćenje SMS-a i mogućnosti slanja poruka omogućuju presretanje jednokratnih lozinki koje se koriste za bankovnu autentifikaciju i odobrenja transakcija.
  • Postavljanjem sebe kao zadane aplikacije za razmjenu poruka i pozivanje na uređaju, zlonamjerni softver može blokirati dolazne pozive, potencijalno sprječavajući upozorenja o prijevari da dođu do žrtava.
  • Integrirane funkcije bilježenja keylogga i zaslona bilježe aktivnosti korisnika, dok se kontakti i obavijesti kontinuirano prikupljaju.
  • Manipulacija međuspremnika tiho zamjenjuje kopirane adrese kriptovaluta s adresama koje kontrolira napadač, preusmjeravajući sredstva bez znanja žrtve.

Tehnike prikrivenog praćenja izbjegavaju otkrivanje

Za razliku od mnogih obitelji zlonamjernog softvera za Android koje se oslanjaju na snimanje zaslona temeljeno na MediaProjectionu, Rokarolla usvaja tišu strategiju nadzora. Umjesto aktiviranja obavijesti o vidljivom snimanju, snima snimke zaslona putem Usluga pristupačnosti, komprimira ih u PNG datoteke i pojedinačno ih prenosi svojim operaterima.

Ovaj pristup smanjuje vjerojatnost otkrivanja, a istovremeno napadačima pruža detaljan pregled aktivnosti korisnika. U usporedbi sa skrivenim VNC implementacijama koje koriste obitelji zlonamjernog softvera poput HOOK-a i Kloopatre, Rokarollino praćenje temeljeno na snimkama zaslona je jednostavnije i diskretnije.

Otporna infrastruktura i rastući trend zlonamjernog softvera

Zlonamjerni softver je izgrađen da izdrži pokušaje ometanja. U kod je ugrađeno više rezervnih domena za upravljanje i kontrolu, a operateri mogu dinamički dodijeliti dodatne poslužitelje kad god je to potrebno. Kao rezultat toga, onemogućavanje jednog poslužitelja za upravljanje ima mali utjecaj na cjelokupni rad.

Njegov opsežan skup naredbi premašuje 107 naredbi prethodno dokumentiranih u bankarskom trojancu HOOK, što odražava rastuću sofisticiranost Android bankarskog zlonamjernog softvera uočenog tijekom 2026. Metodologija napada slijedi poznati obrazac koji je postao sve češći:

  • Distribucija putem lažnih instalatora aplikacija.
  • Zlouporaba usluga pristupačnosti za eskalaciju privilegija i kontrolu uređaja.
  • Korištenje HTML slojeva za prikupljanje vjerodajnica i osjetljivih informacija.

Obrambene mjere ostaju ključne

Budući da je Rokarolla zlonamjerni softver, a ne softverska ranjivost, ne postoji sigurnosna zakrpa koja može ukloniti prijetnju. Zaštita ovisi o pridržavanju utvrđenih sigurnosnih praksi za Android.

Aplikacije treba instalirati samo iz službene trgovine Google Play, Google Play Protect treba uvijek ostati omogućen, a svaki neočekivani zahtjev za dopuštenjima pristupačnosti treba tretirati kao značajan znak upozorenja. Pristup pristupačnosti služi kao temelj Rokarollinog lanca napada i omogućuje mnoge od njegovih najopasnijih mogućnosti.

Atribucija ostaje nepoznata

U trenutku izvještavanja, Rokarolla nije bio povezan ni s jednim javno identificiranim akterom prijetnje ili kibernetičkom kriminalnom skupinom. Ipak, njegov dizajn jasno pokazuje namjerni napor da se zaobiđu upravo one zaštite kojima se korisnici Androida potiču vjerovati, uključujući Play Protect, zaštitne mjere zaključanog zaslona i druge ugrađene sigurnosne kontrole.

Mogućnosti zlonamjernog softvera naglašavaju kontinuiranu evoluciju Android bankarskih trojanaca i sve veću sofisticiranost financijski motiviranih mobilnih prijetnji.

Učitavam...