Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Troianul bancar Rokarolla

Troianul bancar Rokarolla

Până în Mezo în Malware mobil, Troian bancar
Tradu in:

Cercetătorii în domeniul securității cibernetice au identificat un nou troian bancar pentru Android, cunoscut sub numele de Rokarolla, numit după infrastructura sa de comandă și control (C2). Malware-ul este conceput să vizeze o gamă largă de servicii financiare, având capacitatea de a ataca 217 aplicații bancare și de criptomonede. Echipat cu 137 de comenzi de la distanță, Rokarolla oferă infractorilor cibernetici un nivel excepțional de control asupra dispozitivelor compromise.

Odată instalat, malware-ul poate elimina protecțiile de pe ecranul de blocare, poate intercepta și trimite mesaje SMS, poate manipula conținutul clipboard-ului pentru a redirecționa transferurile de criptomonede și chiar poate dezactiva mecanismele de securitate încorporate ale Google.

Distribuție deghizată prin aplicații false

Rokarolla este distribuit în principal prin intermediul site-urilor web rău intenționate care se deghizează în aplicații legitime și populare, inclusiv TikTok și Google Chrome.

Victimele descarcă inițial o aplicație dropper care se preface în Google Play Protect. Prin exploatarea acestei aparențe de încredere, dropper-ul convinge utilizatorii să acorde permisiuni Serviciului de Accesibilitate și facilitează instalarea sarcinii malware. După execuție, una dintre comenzile Rokarolla dezactivează imediat Play Protect, eliminând un strat important de securitate Android.

Atacuri suprapuse concepute pentru a fura acreditări

Furtul de acreditări se realizează prin atacuri sofisticate suprapuse. Rokarolla preia o listă de aplicații vizate de pe serverul său de comandă și descarcă pagini de conectare HTML frauduloase corespunzătoare acelor aplicații. Aceste interfețe contrafăcute sunt stocate local și afișate de fiecare dată când o victimă deschide o aplicație bancară sau de criptomonedă legitimă.

Ecranele false sunt concepute pentru a capta toate informațiile introduse de utilizator, inclusiv nume de utilizator, parole și detalii despre cardul de plată. Cercetătorii au observat un exemplu care imita în mod convingător aplicația bancară „imagin”.

Malware-ul implementează, de asemenea, o suprapunere contrafăcută pentru ecranul de blocare Android, capabilă să colecteze coduri PIN, modele și parole. Această capacitate permite atacatorilor să mențină accesul și controlul chiar și atunci când dispozitivul este blocat.

Furtul de acreditări, supravegherea și frauda financiară într-un singur pachet

Rokarolla combină multiple mecanisme de supraveghere și furt pentru a maximiza colectarea de date și câștigurile financiare:

  • Capacitățile complete de monitorizare a SMS-urilor și de trimitere a mesajelor permit interceptarea codurilor de acces unice utilizate pentru autentificarea bancară și aprobarea tranzacțiilor.
  • Prin desemnarea sa ca aplicație implicită de mesagerie și apeluri a dispozitivului, malware-ul poate bloca apelurile primite, împiedicând potențial victimele să acceseze avertismentele de fraudă.
  • Funcțiile integrate de înregistrare a tastelor și a ecranului capturează activitatea utilizatorilor, în timp ce contactele și notificările sunt colectate continuu.
  • Manipularea clipboard-ului înlocuiește silențios adresele copiate ale portofelului de criptomonede cu adrese controlate de atacator, deturnând fonduri fără știrea victimei.

Tehnici de monitorizare discretă care evită detectarea

Spre deosebire de multe familii de programe malware pentru Android care se bazează pe înregistrarea ecranului bazată pe MediaProjection, Rokarolla adoptă o strategie de supraveghere mai silențioasă. În loc să declanșeze notificări de înregistrare vizibile, acesta face capturi de ecran prin intermediul Serviciilor de Accesibilitate, le comprimă în fișiere PNG și le transmite individual operatorilor săi.

Această abordare reduce probabilitatea de detectare, oferind în același timp atacatorilor o imagine detaliată a activității utilizatorilor. Comparativ cu implementările VNC ascunse utilizate de familii de programe malware precum HOOK și Klopatra, monitorizarea bazată pe capturi de ecran a Rokarolla este atât mai simplă, cât și mai discretă.

Infrastructură rezistentă și o tendință în expansiune a programelor malware

Malware-ul este conceput să reziste eforturilor de întrerupere a activității. Mai multe domenii de comandă și control de rezervă sunt încorporate în cod, iar operatorii pot atribui dinamic servere suplimentare ori de câte ori este nevoie. Prin urmare, dezactivarea unui singur server de comandă are un impact redus asupra operațiunii generale.

Setul său extins de comenzi depășește cele 107 comenzi documentate anterior în trojanul bancar HOOK, reflectând sofisticarea tot mai mare a programelor malware bancare pentru Android observate pe parcursul anului 2026. Metodologia de atac urmează un model familiar care a devenit din ce în ce mai frecvent:

  • Distribuție prin instalatori de aplicații falși.
  • Abuzul serviciilor de accesibilitate pentru escaladarea privilegiilor și controlul dispozitivelor.
  • Utilizarea suprapunerilor bazate pe HTML pentru a colecta acreditări și informații sensibile.

Măsurile defensive rămân esențiale

Deoarece Rokarolla este un malware și nu o vulnerabilitate software, nu există niciun patch de securitate capabil să elimine amenințarea. Protecția depinde de respectarea practicilor de securitate Android stabilite.

Aplicațiile ar trebui instalate doar din Magazinul oficial Google Play, Google Play Protect ar trebui să rămână activat în permanență, iar orice solicitare neașteptată de permisiuni de accesibilitate ar trebui tratată ca un semn de avertizare semnificativ. Accesul la accesibilitate servește drept fundament al lanțului de atac al Rokarolla și activează multe dintre cele mai periculoase capabilități ale sale.

Atribuirea rămâne necunoscută

La momentul raportării, Rokarolla nu a fost asociat cu niciun actor de amenințare sau grup de infractori cibernetici identificat public. Cu toate acestea, designul său demonstrează în mod clar un efort deliberat de a ocoli chiar protecțiile în care utilizatorii Android sunt încurajați să aibă încredere, inclusiv Play Protect, măsurile de siguranță pentru ecranul de blocare și alte controale de securitate încorporate.

Capacitățile malware-ului evidențiază evoluția continuă a troienilor bancari Android și sofisticarea tot mai mare a amenințărilor mobile motivate financiar.

Se încarcă...