Rokarolla Banktrojan
Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe Android-banktrojan ontdekt, genaamd Rokarolla, naar de Command-and-Control (C2)-infrastructuur. De malware is ontworpen om een breed scala aan financiële diensten aan te vallen en kan 217 bank- en cryptovaluta-applicaties treffen. Met 137 commando's op afstand biedt Rokarolla cybercriminelen een uitzonderlijke mate van controle over geïnfecteerde apparaten.
Eenmaal geïnstalleerd kan de malware schermvergrendelingen verwijderen, sms-berichten onderscheppen en verzenden, de inhoud van het klembord manipuleren om cryptovaluta-transacties om te leiden en zelfs de ingebouwde beveiligingsmechanismen van Google uitschakelen.
Inhoudsopgave
Vermomde distributie via nep-applicaties
Rokarolla wordt voornamelijk verspreid via kwaadwillende websites die zich voordoen als legitieme en populaire applicaties, waaronder TikTok en Google Chrome.
Slachtoffers downloaden eerst een dropper-applicatie die zich voordoet als Google Play Protect. Door misbruik te maken van deze vertrouwde uitstraling, overtuigt de dropper gebruikers om toestemming te geven voor de toegankelijkheidsservice en maakt zo de installatie van de schadelijke software mogelijk. Na uitvoering schakelt een van de commando's van Rokarolla Play Protect onmiddellijk uit, waardoor een belangrijke beveiligingslaag van Android wordt weggenomen.
Overlay-aanvallen ontworpen om inloggegevens te stelen
Het stelen van inloggegevens gebeurt via geavanceerde overlay-aanvallen. Rokarolla haalt een lijst met doelwitapplicaties op van zijn commandoserver en downloadt frauduleuze HTML-inlogpagina's die overeenkomen met die apps. Deze vervalste interfaces worden lokaal opgeslagen en weergegeven wanneer een slachtoffer een legitieme bank- of crypto-applicatie opent.
De neppe schermen zijn ontworpen om alle door de gebruiker ingevoerde informatie vast te leggen, inclusief gebruikersnamen, wachtwoorden en betaalkaartgegevens. Onderzoekers observeerden een voorbeeld dat de bankapplicatie 'Imagin' op overtuigende wijze nabootste.
De malware installeert ook een nep-Android-vergrendelschermoverlay die pincodes, patronen en wachtwoorden kan onderscheppen. Deze mogelijkheid stelt aanvallers in staat om toegang en controle te behouden, zelfs wanneer het apparaat vergrendeld is.
Diefstal van inloggegevens, surveillance en financiële fraude in één pakket.
Rokarolla combineert meerdere bewakings- en diefstalmechanismen om de gegevensverzameling en de financiële winst te maximaliseren:
- Dankzij de uitgebreide mogelijkheden voor sms-monitoring en het versturen van berichten kunnen eenmalige toegangscodes die worden gebruikt voor bankauthenticatie en transactiegoedkeuringen worden onderschept.
- Door zichzelf als standaard berichten- en belapplicatie van het apparaat in te stellen, kan de malware inkomende oproepen blokkeren, waardoor fraudewaarschuwingen slachtoffers mogelijk niet bereiken.
- Geïntegreerde functies voor het registreren van toetsaanslagen en schermactiviteit leggen gebruikersactiviteit vast, terwijl contacten en meldingen continu worden verzameld.
- Door manipulatie van het klembord worden gekopieerde cryptocurrency-walletadressen stilletjes vervangen door adressen die door de aanvaller worden beheerd, waardoor geld wordt omgeleid zonder dat het slachtoffer het weet.
Heimelijke monitoringtechnieken ontwijken detectie
In tegenstelling tot veel Android-malwarefamilies die gebruikmaken van schermopname via MediaProjection, hanteert Rokarolla een stillere surveillancestrategie. In plaats van zichtbare opnamemeldingen te activeren, maakt het schermafbeeldingen via Toegankelijkheidsservices, comprimeert deze tot PNG-bestanden en verzendt ze afzonderlijk naar de beheerders.
Deze aanpak verkleint de kans op detectie, terwijl aanvallers toch een gedetailleerd beeld krijgen van de gebruikersactiviteit. In vergelijking met verborgen VNC-implementaties die gebruikt worden door malwarefamilies zoals HOOK en Klopatra, is de op screenshots gebaseerde monitoring van Rokarolla zowel eenvoudiger als discreter.
Veerkrachtige infrastructuur en een groeiende malwaretrend
De malware is ontworpen om verstoringspogingen te weerstaan. Meerdere back-up command-and-control-domeinen zijn in de code ingebed en beheerders kunnen dynamisch extra servers toewijzen wanneer dat nodig is. Hierdoor heeft het uitschakelen van één enkele command-and-control-server weinig impact op de algehele werking.
De uitgebreide set commando's overtreft de 107 commando's die eerder in de HOOK-banktrojan zijn gedocumenteerd, wat de toenemende verfijning van Android-bankmalware weerspiegelt die in 2026 is waargenomen. De aanvalsmethode volgt een bekend patroon dat steeds vaker voorkomt:
- Verspreiding via nep-applicatie-installatieprogramma's.
- Misbruik van toegankelijkheidsdiensten voor privilege-escalatie en apparaatbeheer.
- Gebruik van HTML-gebaseerde overlays om inloggegevens en gevoelige informatie te verzamelen.
Defensieve maatregelen blijven cruciaal.
Omdat Rokarolla malware is en geen softwarekwetsbaarheid, bestaat er geen beveiligingspatch die de dreiging kan elimineren. Bescherming is afhankelijk van het volgen van de gangbare Android-beveiligingspraktijken.
Applicaties mogen alleen vanuit de officiële Google Play Store worden geïnstalleerd, Google Play Protect moet te allen tijde ingeschakeld blijven en elk onverwacht verzoek om toegankelijkheidsrechten moet als een ernstig waarschuwingssignaal worden beschouwd. Toegang tot toegankelijkheidsrechten vormt de basis van Rokarolla's aanvalsketen en maakt veel van de gevaarlijkste mogelijkheden mogelijk.
De auteur is onbekend.
Op het moment van publicatie is Rokarolla niet in verband gebracht met een publiekelijk geïdentificeerde dreigingsgroep of cybercriminele organisatie. Niettemin laat het ontwerp duidelijk een bewuste poging zien om de beveiligingsmaatregelen te omzeilen waarop Android-gebruikers juist zouden moeten vertrouwen, zoals Play Protect, vergrendelschermbeveiliging en andere ingebouwde beveiligingsfuncties.
De mogelijkheden van de malware benadrukken de voortdurende evolutie van Android-banktrojans en de toenemende verfijning van financieel gemotiveerde mobiele bedreigingen.
