Скидка на мультилицензию
База данных угроз Вредоносное ПО для мобильных устройств Банковский троян Рокаролла

Банковский троян Рокаролла

К Mezo году в Вредоносное ПО для мобильных устройств, Банковский троян году
Перевести на:

Исследователи в области кибербезопасности обнаружили новый банковский троян для Android, известный как Rokarolla, названный так в честь своей инфраструктуры управления и контроля (C2). Вредоносная программа предназначена для атаки широкого спектра финансовых услуг и способна поражать 217 банковских и криптовалютных приложений. Обладая 137 удаленными командами, Rokarolla предоставляет киберпреступникам исключительный уровень контроля над скомпрометированными устройствами.

После установки вредоносное ПО может снимать защиту с экрана блокировки, перехватывать и отправлять SMS-сообщения, манипулировать содержимым буфера обмена для перенаправления переводов криптовалюты и даже отключать встроенные механизмы безопасности Google.

Скрытое распространение через поддельные приложения

Rokarolla распространяется в основном через вредоносные веб-сайты, маскирующиеся под легитимные и популярные приложения, включая TikTok и Google Chrome.

Жертвы сначала загружают приложение-дроппер, имитирующее Google Play Protect. Используя этот обманчивый внешний вид, дроппер убеждает пользователей предоставить разрешения службе специальных возможностей и способствует установке вредоносной программы. После выполнения одна из команд Rokarolla немедленно отключает Play Protect, устраняя важный уровень безопасности Android.

Атаки с использованием наложенных окон, предназначенные для кражи учетных данных.

Кража учетных данных осуществляется с помощью сложных атак с использованием наложенных окон. Rokarolla получает список целевых приложений со своего командного сервера и загружает мошеннические HTML-страницы входа в систему, соответствующие этим приложениям. Эти поддельные интерфейсы хранятся локально и отображаются всякий раз, когда жертва открывает легитимное банковское или криптовалютное приложение.

Поддельные экраны предназначены для сбора всей информации, введенной пользователем, включая имена пользователей, пароли и данные платежных карт. Исследователи обнаружили один пример, который убедительно имитировал банковское приложение «imagin».

Вредоносная программа также использует поддельное наложение экрана блокировки Android, способное собирать PIN-коды, графические ключи и пароли. Эта возможность позволяет злоумышленникам сохранять доступ и контроль даже при заблокированном устройстве.

Кража учетных данных, слежка и финансовое мошенничество в одном пакете

Rokarolla объединяет множество механизмов слежки и кражи данных для максимизации сбора информации и получения финансовой выгоды:

  • Полноценный мониторинг SMS-сообщений и возможности их отправки позволяют перехватывать одноразовые пароли, используемые для банковской аутентификации и подтверждения транзакций.
  • Назначая себя в качестве приложения по умолчанию для обмена сообщениями и звонков на устройстве, вредоносная программа может блокировать входящие звонки, потенциально препятствуя доставке предупреждений о мошенничестве жертвам.
  • Встроенные функции регистрации нажатий клавиш и записи экрана фиксируют действия пользователя, а контакты и уведомления непрерывно собираются.
  • Манипулирование буфером обмена незаметно заменяет скопированные адреса криптовалютных кошельков адресами, контролируемыми злоумышленником, перенаправляя средства без ведома жертвы.

Методы скрытого наблюдения позволяют избежать обнаружения.

В отличие от многих семейств вредоносных программ для Android, которые используют запись экрана на основе MediaProjection, Rokarolla применяет более скрытую стратегию слежки. Вместо того чтобы вызывать видимые уведомления о записи, она делает снимки экрана с помощью служб специальных возможностей, сжимает их в файлы PNG и передает по отдельности своим операторам.

Этот подход снижает вероятность обнаружения, при этом предоставляя злоумышленникам подробную информацию об активности пользователя. По сравнению со скрытыми реализациями VNC, используемыми такими семействами вредоносных программ, как HOOK и Klopatra, мониторинг на основе скриншотов в Rokarolla проще и незаметнее.

Надежная инфраструктура и растущая тенденция распространения вредоносного ПО

Вредоносная программа разработана таким образом, чтобы противостоять попыткам нарушения работы системы. В код встроены несколько резервных доменов управления, и операторы могут динамически назначать дополнительные серверы по мере необходимости. В результате отключение одного сервера управления оказывает незначительное влияние на общую работу системы.

Его обширный набор команд превышает 107 команд, ранее задокументированных в банковском трояне HOOK, что отражает растущую изощренность банковских вредоносных программ для Android, наблюдаемую в течение 2026 года. Методология атаки следует знакомой схеме, которая становится все более распространенной:

  • Распространение через поддельные установщики приложений.
  • Злоупотребление службами специальных возможностей для повышения привилегий и контроля над устройством.
  • Использование HTML-интерфейсов для сбора учетных данных и конфиденциальной информации.

Меры защиты остаются крайне важными.

Поскольку Rokarolla — это вредоносное ПО, а не уязвимость программного обеспечения, не существует патча безопасности, способного устранить эту угрозу. Защита зависит от соблюдения установленных правил безопасности Android.

Приложения следует устанавливать только из официального магазина Google Play, Google Play Protect должен оставаться включенным постоянно, а любой неожиданный запрос на предоставление разрешений для специальных возможностей следует рассматривать как серьезный тревожный сигнал. Доступ к специальным возможностям является основой цепочки атак Rokarolla и обеспечивает работу многих из ее наиболее опасных функций.

Авторство остается неизвестным.

На момент публикации статьи Rokarolla не была связана ни с одним публично идентифицированным субъектом угроз или киберпреступной группировкой. Тем не менее, её дизайн явно демонстрирует преднамеренную попытку обойти те самые средства защиты, которым пользователи Android должны доверять, включая Play Protect, защиту экрана блокировки и другие встроенные средства безопасности.

Возможности вредоносной программы подчеркивают продолжающуюся эволюцию банковских троянов для Android и растущую изощренность мобильных угроз, мотивированных финансовыми интересами.

Наиболее просматриваемые

Загрузка...