Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program Rokarolla banki trójai

Rokarolla banki trójai

Mezo -ra Mobil rosszindulatú program, Banki trójai-ben
Fordítás ide:

Kiberbiztonsági kutatók azonosítottak egy új Android banki trójai vírust, a Rokarolla-t, amely a Command-and-Control (C2) infrastruktúrájáról kapta a nevét. A rosszindulatú program célja, hogy széles körű pénzügyi szolgáltatásokat célozzon meg, és 217 banki és kriptovaluta alkalmazást támadjon meg. A 137 távoli paranccsal felszerelt Rokarolla kivételes szintű kontrollt biztosít a kiberbűnözőknek a feltört eszközök felett.

A telepítés után a rosszindulatú program képes eltávolítani a képernyőzár-védelmet, elfogni és elküldeni az SMS-üzeneteket, manipulálni a vágólap tartalmát a kriptovaluta-átutalások átirányításához, sőt, még a Google beépített biztonsági mechanizmusait is letilthatja.

Rejtett terjesztés hamis alkalmazásokon keresztül

A Rokarolla elsősorban rosszindulatú weboldalakon keresztül terjed, amelyek legitim és népszerű alkalmazásoknak álcázzák magukat, beleértve a TikTok-ot és a Google Chrome-ot.

Az áldozatok először egy olyan dropper alkalmazást töltenek le, amely a Google Play Protectnek ad ki magát. Ezt a megbízható látszatot kihasználva a dropper ráveszi a felhasználókat, hogy hozzáférési szolgáltatási engedélyeket adjanak, és megkönnyíti a rosszindulatú hasznos fájl telepítését. A végrehajtás után a Rokarolla egyik parancsa azonnal letiltja a Play Protectet, megszüntetve az Android biztonsági egy fontos rétegét.

Hitelesítő adatok ellopására tervezett átfedő támadások

A hitelesítő adatok ellopását kifinomult overlay támadásokon keresztül hajtják végre. A Rokarolla lekéri a célzott alkalmazások listáját a parancsszerveréről, és letölti az alkalmazásokhoz tartozó hamis HTML bejelentkezési oldalakat. Ezeket a hamisított felületeket a rendszer helyben tárolja, és minden alkalommal megjeleníti, amikor az áldozat megnyit egy legitim banki vagy kriptovaluta alkalmazást.

A hamis képernyők úgy vannak kialakítva, hogy rögzítsék a felhasználó által megadott összes információt, beleértve a felhasználóneveket, jelszavakat és bankkártya-adatokat. A kutatók megfigyeltek egy példát, amely meggyőzően utánozta a banki alkalmazás „képzeletét”.

A rosszindulatú program egy hamis Android zárolási képernyő réteget is telepít, amely képes PIN-kódok, minták és jelszavak begyűjtésére. Ez a képesség lehetővé teszi a támadók számára, hogy akkor is hozzáférjenek és irányítsák az eszközt, amikor az zárolva van.

Hitelesítő adatok ellopása, megfigyelés és pénzügyi csalás egyetlen csomagban

A Rokarolla több megfigyelési és lopási mechanizmust kombinál az adatgyűjtés és a pénzügyi haszon maximalizálása érdekében:

  • A teljes SMS-monitorozás és üzenetküldési képességek lehetővé teszik a banki hitelesítéshez és tranzakciók jóváhagyásához használt egyszer használatos jelszavak lehallgatását.
  • Azzal, hogy a kártevő az eszköz alapértelmezett üzenetküldő és hívóalkalmazásaként állítja be magát, blokkolhatja a bejövő hívásokat, ezáltal megakadályozva, hogy a csalási figyelmeztetések eljussanak az áldozatokhoz.
  • Az integrált billentyűnaplózó és képernyőnaplózó funkciók rögzítik a felhasználói tevékenységeket, miközben a névjegyeket és az értesítéseket folyamatosan gyűjtik.
  • A vágólap-manipuláció csendben lecseréli a másolt kriptovaluta-tárcacímeket a támadó által ellenőrzött címekre, így az áldozat tudta nélkül elterelheti a pénzt.

A lopakodó megfigyelési technikák elkerülik az észlelést

Sok, MediaProjection-alapú képernyőrögzítésre támaszkodó Androidos kártevőcsaláddal ellentétben a Rokarolla egy csendesebb megfigyelési stratégiát alkalmaz. A látható rögzítési értesítések kiváltása helyett az Accessibility Services segítségével képernyőképeket rögzít, PNG fájlokba tömöríti azokat, és egyenként továbbítja az operátoroknak.

Ez a megközelítés csökkenti az észlelés valószínűségét, miközben továbbra is részletes képet ad a támadóknak a felhasználói tevékenységekről. A HOOK és a Klopatra kártevőcsaládok által használt rejtett VNC implementációkhoz képest a Rokarolla képernyőkép-alapú monitorozása egyszerűbb és diszkrétebb is.

Rugalmas infrastruktúra és a terjedő rosszindulatú szoftverek trendje

A rosszindulatú programot úgy tervezték, hogy ellenálljon a zavarkeltő kísérleteknek. Több tartalék parancs- és vezérlőtartomány van beágyazva a kódba, és az operátorok dinamikusan hozzárendelhetnek további szervereket, amikor csak szükséges. Ennek eredményeként egyetlen parancsszerver letiltása csekély hatással van az általános működésre.

Kiterjedt parancskészlete meghaladja a korábban a HOOK banki trójaiban dokumentált 107 parancsot, ami tükrözi az Android banki rosszindulatú programok 2026 folyamán megfigyelt növekvő kifinomultságát. A támadási módszertan egy ismerős mintát követ, amely egyre gyakoribbá válik:

  • Terjesztés hamis alkalmazástelepítőkön keresztül.
  • Akadálymentesítési szolgáltatásokkal való visszaélés privilégiumok eszkalálására és eszközvezérlésre.
  • HTML-alapú rétegek használata hitelesítő adatok és bizalmas információk gyűjtésére.

A védekező intézkedések továbbra is kritikus fontosságúak

Mivel a Rokarolla egy rosszindulatú program, nem pedig szoftveres sebezhetőség, nincs olyan biztonsági javítás, amely képes lenne kiküszöbölni a fenyegetést. A védelem az Android által bevett biztonsági gyakorlatok betartásától függ.

Az alkalmazásokat csak a hivatalos Google Play Áruházból szabad telepíteni, a Google Play Protectnek mindig engedélyezve kell lennie, és a hozzáférhetőségi engedélyekre vonatkozó minden váratlan kérést jelentős figyelmeztető jelnek kell tekinteni. Az akadálymentes hozzáférés a Rokarolla támadási láncának alapját képezi, és számos legveszélyesebb képességét teszi lehetővé.

A hozzárendelés ismeretlen marad

A jelentéstétel időpontjában a Rokarolla nem hozható összefüggésbe semmilyen nyilvánosan azonosított fenyegetéssel vagy kiberbűnözői csoporttal. Mindazonáltal a kialakítása egyértelműen azt mutatja, hogy szándékosan próbálják megkerülni azokat a védelmeket, amelyekben az Android-felhasználóknak megbízniuk kellene, beleértve a Play Protectet, a képernyőzár-védelmi funkciókat és más beépített biztonsági ellenőrzéseket.

A rosszindulatú program képességei rávilágítanak az Androidos banki trójaiak folyamatos fejlődésére és a pénzügyi motivációjú mobilfenyegetések egyre kifinomultabb jellegére.

Betöltés...