Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér Bankový trójsky kôň Rokarolla

Bankový trójsky kôň Rokarolla

Do roku Mezo v roku Mobilný malvér, Bankový trójsky kôň
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti identifikovali nového bankového trójskeho koňa pre Android s názvom Rokarolla, pomenovaného podľa svojej infraštruktúry Command-and-Control (C2). Malvér je navrhnutý tak, aby zacielil na širokú škálu finančných služieb a dokáže napadnúť 217 bankových a kryptomenových aplikácií. Rokarolla, vybavený 137 vzdialenými príkazmi, poskytuje kyberzločincom výnimočnú úroveň kontroly nad napadnutými zariadeniami.

Po nainštalovaní dokáže malvér odstrániť ochranu uzamknutej obrazovky, zachytiť a odoslať SMS správy, manipulovať s obsahom schránky na presmerovanie prevodov kryptomien a dokonca deaktivovať vstavané bezpečnostné mechanizmy spoločnosti Google.

Skrytá distribúcia prostredníctvom falošných aplikácií

Rokarolla sa distribuuje predovšetkým prostredníctvom škodlivých webových stránok, ktoré sa maskujú ako legitímne a populárne aplikácie, vrátane TikToku a Google Chrome.

Obete si najprv stiahnu aplikáciu, ktorá sa vydáva za Google Play Protect. Zneužitím tohto dôveryhodného vzhľadu aplikácia presvedčí používateľov, aby udelili povolenia službe Accessibility Service a uľahčí inštaláciu škodlivého obsahu. Po vykonaní jeden z príkazov aplikácie Rokarolla okamžite deaktivuje Play Protect, čím eliminuje dôležitú vrstvu zabezpečenia systému Android.

Prekrývajúce útoky určené na krádež poverení

Krádež prihlasovacích údajov sa vykonáva prostredníctvom sofistikovaných overlay útokov. Rokarolla načíta zoznam cieľových aplikácií zo svojho príkazového servera a stiahne podvodné prihlasovacie stránky HTML zodpovedajúce týmto aplikáciám. Tieto falošné rozhrania sa ukladajú lokálne a zobrazujú sa vždy, keď obeť otvorí legitímnu bankovú alebo kryptomenovú aplikáciu.

Falošné obrazovky sú navrhnuté tak, aby zachytili všetky informácie zadané používateľom vrátane používateľských mien, hesiel a údajov o platobných kartách. Výskumníci pozorovali jeden príklad, ktorý presvedčivo napodobňoval bankovú aplikáciu „imagin“.

Malvér tiež nasadzuje falošnú prekryvnú vrstvu uzamknutej obrazovky systému Android, ktorá je schopná zhromažďovať PINy, vzory a heslá. Táto funkcia umožňuje útočníkom zachovať si prístup a kontrolu, aj keď je zariadenie uzamknuté.

Krádež poverení, sledovanie a finančné podvody v jednom balíku

Rokarolla kombinuje viacero mechanizmov sledovania a krádeže s cieľom maximalizovať zber údajov a finančný zisk:

  • Úplné monitorovanie SMS a možnosti odosielania správ umožňujú zachytenie jednorazových prístupových kódov používaných na overovanie bankových transakcií a schvaľovanie transakcií.
  • Tým, že sa malvér sám nastaví ako predvolená aplikácia na odosielanie správ a volania v zariadení, môže blokovať prichádzajúce hovory, čím potenciálne zabráni doručeniu varovaní pred podvodmi obetiam.
  • Integrované funkcie zaznamenávania stlačení kláves a obrazovky zaznamenávajú aktivitu používateľov, zatiaľ čo kontakty a upozornenia sa neustále zhromažďujú.
  • Manipulácia so schránkou ticho nahrádza skopírované adresy kryptomenových peňaženiek adresami ovládanými útočníkom, čím sa finančné prostriedky presmerujú bez vedomia obete.

Techniky tajného monitorovania sa vyhýbajú detekcii

Na rozdiel od mnohých iných malvérov pre Android, ktoré sa spoliehajú na nahrávanie obrazovky pomocou služby MediaProjection, Rokarolla používa tichšiu stratégiu sledovania. Namiesto spúšťania viditeľných upozornení na nahrávanie zachytáva snímky obrazovky prostredníctvom služieb prístupnosti, komprimuje ich do súborov PNG a jednotlivo ich odosiela svojim operátorom.

Tento prístup znižuje pravdepodobnosť odhalenia a zároveň útočníkom poskytuje podrobný prehľad o aktivite používateľov. V porovnaní so skrytými implementáciami VNC používanými skupinami malvéru, ako sú HOOK a Klopatra, je monitorovanie založené na snímkach obrazovky v Rokarolle jednoduchšie a diskrétnejšie.

Odolná infraštruktúra a rozširujúci sa trend malvéru

Malvér je vytvorený tak, aby odolal snahám o narušenie. V kóde je zabudovaných viacero záložných domén velenia a riadenia a operátori môžu dynamicky priradiť ďalšie servery podľa potreby. V dôsledku toho má deaktivácia jedného servera velenia malý vplyv na celkovú prevádzku.

Jeho rozsiahla sada príkazov presahuje 107 príkazov, ktoré boli predtým zdokumentované v bankovom trójskom koňi HOOK, čo odráža rastúcu sofistikovanosť bankového malvéru pre Android, ktorá bola pozorovaná v priebehu roka 2026. Metodika útoku sa riadi známym vzorcom, ktorý sa stáva čoraz bežnejším:

  • Distribúcia prostredníctvom falošných inštalátorov aplikácií.
  • Zneužívanie služieb prístupnosti na eskaláciu privilégií a kontrolu zariadení.
  • Použitie prekrytí založených na HTML na zhromažďovanie poverení a citlivých informácií.

Obranné opatrenia zostávajú kritické

Keďže Rokarolla je skôr malvér než softvérová zraniteľnosť, neexistuje žiadna bezpečnostná záplata, ktorá by mohla túto hrozbu eliminovať. Ochrana závisí od dodržiavania zavedených bezpečnostných postupov systému Android.

Aplikácie by sa mali inštalovať iba z oficiálneho obchodu Google Play, služba Google Play Protect by mala zostať vždy zapnutá a akákoľvek neočakávaná žiadosť o povolenia prístupnosti by sa mala považovať za významný varovný signál. Prístup prístupnosti slúži ako základ útočného reťazca Rokarolly a umožňuje mnohé z jej najnebezpečnejších funkcií.

Pripisovanie zostáva neznáme

V čase vydania správy nebol Rokarolla prepojený so žiadnym verejne identifikovaným aktérom hrozby ani kybernetickou zločineckou skupinou. Napriek tomu jeho dizajn jasne demonštruje úmyselnú snahu obísť práve tie ochrany, ktorým sa používatelia systému Android odporúča dôverovať, vrátane služby Play Protect, ochranných prvkov uzamknutej obrazovky a ďalších vstavaných bezpečnostných prvkov.

Schopnosti malvéru zdôrazňujú pokračujúci vývoj bankových trójskych koní pre Android a rastúcu sofistikovanosť finančne motivovaných mobilných hrozieb.

Načítava...