Rokarolla Banking Trojas zirgs

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm, Banku Trojas zirgs. gadā

Tulkot uz:

Kiberdrošības pētnieki ir identificējuši jaunu Android banku Trojas zirgu, kas pazīstams kā Rokarolla, kas nosaukts tā vadības un kontroles (C2) infrastruktūras vārdā. Ļaunprogramma ir izstrādāta, lai uzbruktu plašam finanšu pakalpojumu klāstam, un tā spēj uzbrukt 217 banku un kriptovalūtu lietojumprogrammām. Aprīkota ar 137 attālinātām komandām, Rokarolla nodrošina kibernoziedzniekiem izcilu kontroles līmeni pār apdraudētām ierīcēm.

Pēc instalēšanas ļaunprogrammatūra var noņemt bloķēšanas ekrāna aizsardzību, pārtvert un nosūtīt īsziņas, manipulēt ar starpliktuves saturu, lai novirzītu kriptovalūtas pārskaitījumus, un pat atspējot Google iebūvētos drošības mehānismus.

Satura rādītājs

Slēpta izplatīšana, izmantojot viltotas lietojumprogrammas

Rokarolla galvenokārt tiek izplatīta, izmantojot ļaunprātīgas tīmekļa vietnes, kas maskējas kā likumīgas un populāras lietotnes, tostarp TikTok un Google Chrome.

Upuri sākotnēji lejādē lietojumprogrammu “dropper”, kas atdarina Google Play Protect. Izmantojot šo uzticamo izskatu, lietojumprogramma “dropper” pārliecina lietotājus piešķirt piekļuves pakalpojuma atļaujas un atvieglo ļaunprātīgās vērtuma instalēšanu. Pēc izpildes viena no Rokarolla komandām nekavējoties atspējo Play Protect, likvidējot svarīgu Android drošības slāni.

Pārklājuma uzbrukumi, kas paredzēti akreditācijas datu zagšanai

Akreditācijas datu zādzība tiek veikta, izmantojot sarežģītus pārklājuma uzbrukumus. Rokarolla no sava komandu servera izgūst mērķtiecīgu lietojumprogrammu sarakstu un lejādē krāpnieciskas HTML pieteikšanās lapas, kas atbilst šīm lietotnēm. Šīs viltotās saskarnes tiek glabātas lokāli un parādītas ikreiz, kad upuris atver likumīgu banku vai kriptovalūtas lietojumprogrammu.

Viltotie ekrāni ir izstrādāti, lai uztvertu visu lietotāja ievadīto informāciju, tostarp lietotājvārdus, paroles un maksājumu karšu datus. Pētnieki novēroja vienu piemēru, kas pārliecinoši atdarināja banku lietojumprogrammas “iedomāšanos”.

Ļaunprogrammatūra izmanto arī viltotu Android bloķēšanas ekrāna pārklājumu, kas spēj iegūt PIN kodus, kombinācijas un paroles. Šī iespēja ļauj uzbrucējiem saglabāt piekļuvi un kontroli pat tad, ja ierīce ir bloķēta.

Pilnvaru zādzības, novērošana un finanšu krāpšana vienā paketē

Rokarolla apvieno vairākus novērošanas un zādzību mehānismus, lai maksimāli palielinātu datu vākšanu un finansiālo labumu:

Pilnīgas īsziņu uzraudzības un ziņojumu sūtīšanas iespējas ļauj pārtvert vienreizējās piekļuves kodus, kas tiek izmantoti banku autentifikācijai un darījumu apstiprināšanai.
Nosakot sevi par ierīces noklusējuma ziņojumapmaiņas un zvanīšanas lietotni, ļaunprogrammatūra var bloķēt ienākošos zvanus, potenciāli novēršot krāpšanas brīdinājumu nonākšanu līdz upuriem.

Integrētās taustiņu nospiešanas un ekrāna reģistrēšanas funkcijas fiksē lietotāja aktivitātes, savukārt kontakti un paziņojumi tiek nepārtraukti apkopoti.

Starpliktuves manipulācijas nemanāmi aizstāj kopētās kriptovalūtas maku adreses ar uzbrucēja kontrolētām adresēm, novirzot līdzekļus bez upura ziņas.

Slepenas uzraudzības metodes ļauj izvairīties no atklāšanas

Atšķirībā no daudzām Android ļaunprogrammatūru saimēm, kas izmanto uz MediaProjection balstītu ekrāna ierakstīšanu, Rokarolla izmanto klusāku uzraudzības stratēģiju. Tā vietā, lai aktivizētu redzamus ierakstīšanas paziņojumus, tā uzņem ekrānuzņēmumus, izmantojot Accessibility Services, saspiež tos PNG failos un atsevišķi pārsūta operatoriem.

Šī pieeja samazina atklāšanas iespējamību, vienlaikus nodrošinot uzbrucējiem detalizētu lietotāja aktivitāšu pārskatu. Salīdzinot ar slēptajām VNC ieviešanām, ko izmanto tādas ļaunprogrammatūru saimes kā HOOK un Klopatra, Rokarolla ekrānuzņēmumos balstītā uzraudzība ir gan vienkāršāka, gan diskrētāka.

Noturīga infrastruktūra un ļaunprogrammatūras tendences pieaugums

Ļaunprogrammatūra ir izstrādāta, lai izturētu darbības traucējumus. Kodā ir iegulti vairāki rezerves komandu un vadības domēni, un operatori var dinamiski piešķirt papildu serverus, kad vien tas nepieciešams. Tā rezultātā viena komandu servera atspējošana maz ietekmē kopējo darbību.

Tā plašais komandu kopums pārsniedz 107 komandas, kas iepriekš dokumentētas banku Trojas zirgā HOOK, atspoguļojot Android banku ļaunprogrammatūras pieaugošo sarežģītību, kas novērota visā 2026. gadā. Uzbrukuma metodoloģija atbilst pazīstamam modelim, kas kļūst arvien izplatītāks:

Izplatīšana, izmantojot viltotus lietojumprogrammu instalētājus.
Pieejamības pakalpojumu ļaunprātīga izmantošana privilēģiju eskalācijai un ierīču kontrolei.
HTML balstītu pārklājumu izmantošana akreditācijas datu un sensitīvas informācijas apkopošanai.

Aizsardzības pasākumi joprojām ir kritiski svarīgi

Tā kā Rokarolla ir ļaunprogrammatūra, nevis programmatūras ievainojamība, nav drošības ielāpa, kas spētu novērst šo apdraudējumu. Aizsardzība ir atkarīga no noteikto Android drošības prakšu ievērošanas.

Lietotnes drīkst instalēt tikai no oficiālā Google Play veikala, Google Play Protect vienmēr jābūt iespējotam, un jebkurš negaidīts pieejamības atļauju pieprasījums jāuztver kā nopietna brīdinājuma zīme. Pieejamības piekļuve kalpo par Rokarolla uzbrukumu ķēdes pamatu un nodrošina daudzas no tās bīstamākajām iespējām.

Atribūcija paliek nezināma

Ziņojuma sniegšanas brīdī Rokarolla nav bijusi saistīta ar nevienu publiski identificētu apdraudējuma izpildītāju vai kibernoziedznieku grupu. Tomēr tās dizains skaidri parāda apzinātus centienus apiet tieši tos aizsardzības mehānismus, kuriem Android lietotājiem ieteicams uzticēties, tostarp Play Protect, bloķēšanas ekrāna aizsardzību un citas iebūvētās drošības kontroles.

Ļaunprogrammatūras iespējas izceļ Android banku Trojas zirgu nepārtraukto evolūciju un finansiāli motivētu mobilo draudu pieaugošo sarežģītību.

EnigmaSoft maksājumu procesors Digital River GmbH bankrota pieteikums neietekmē SpyHunter klientu aizsardzību pret ļaunprātīgu programmatūru

Meklēt

Mainīt reģionu