Trojan sa Pagbabangko ng Rokarolla

Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong Android banking trojan na kilala bilang Rokarolla, na ipinangalan sa Command-and-Control (C2) infrastructure nito. Ang malware ay idinisenyo upang i-target ang malawak na hanay ng mga serbisyong pinansyal, na may kakayahang umatake sa 217 na aplikasyon sa pagbabangko at cryptocurrency. Dahil sa 137 remote command, ang Rokarolla ay nagbibigay sa mga cybercriminal ng pambihirang antas ng kontrol sa mga nakompromisong device.

Kapag na-install na, kayang tanggalin ng malware ang mga proteksyon sa lock-screen, maharang at magpadala ng mga mensaheng SMS, manipulahin ang mga nilalaman ng clipboard upang i-redirect ang mga paglilipat ng cryptocurrency, at kahit na i-disable ang mga built-in na mekanismo ng seguridad ng Google.

Patagong Pamamahagi sa Pamamagitan ng mga Pekeng Aplikasyon

Pangunahing ipinamamahagi ang Rokarolla sa pamamagitan ng mga malisyosong website na nagkukunwaring lehitimo at sikat na mga application, kabilang ang TikTok at Google Chrome.

Sa simula, nagda-download ang mga biktima ng isang dropper application na nagpapanggap na Google Play Protect. Sa pamamagitan ng paggamit sa mapagkakatiwalaang anyo na ito, hinihikayat ng dropper ang mga user na bigyan ng mga pahintulot ang Accessibility Service at pinapadali ang pag-install ng malisyosong payload. Pagkatapos isagawa, agad na dini-disable ng isa sa mga utos ni Rokarolla ang Play Protect, na nag-aalis ng isang mahalagang layer ng seguridad ng Android.

Mga Pag-atake sa Overlay na Dinisenyo upang Magnakaw ng mga Kredensyal

Isinasagawa ang pagnanakaw ng kredensyal sa pamamagitan ng mga sopistikadong overlay attack. Kinukuha ng Rokarolla ang isang listahan ng mga naka-target na application mula sa command server nito at dina-download ang mga mapanlinlang na HTML login page na naaayon sa mga app na iyon. Ang mga pekeng interface na ito ay iniimbak nang lokal at ipinapakita tuwing magbubukas ang isang biktima ng isang lehitimong banking o cryptocurrency application.

Ang mga pekeng screen ay dinisenyo upang makuha ang lahat ng impormasyong ipinasok ng user, kabilang ang mga username, password, at mga detalye ng payment card. Naobserbahan ng mga mananaliksik ang isang halimbawa na nakakakumbinsing ginaya ang banking application na 'imagine.'

Nagde-deploy din ang malware ng pekeng Android lock-screen overlay na may kakayahang kumuha ng mga PIN, pattern, at password. Ang kakayahang ito ay nagbibigay-daan sa mga attacker na mapanatili ang access at kontrol kahit na naka-lock ang device.

Pagnanakaw ng Kredensyal, Pagsubaybay, at Pandaraya sa Pinansyal sa Isang Pakete

Pinagsasama ng Rokarolla ang maraming mekanismo ng pagmamatyag at pagnanakaw upang mapakinabangan nang husto ang pangongolekta ng datos at pinansyal na pakinabang:

• Ang ganap na pagsubaybay sa SMS at kakayahan sa pagpapadala ng mensahe ay nagbibigay-daan sa pagharang ng mga minsanang passcode na ginagamit para sa pagpapatotoo ng pagbabangko at pag-apruba ng transaksyon.
• Sa pamamagitan ng pagtatalaga ng sarili nito bilang default na application sa pagmemensahe at pagtawag ng device, maaaring harangan ng malware ang mga papasok na tawag, na posibleng pumipigil sa mga babala ng pandaraya na makarating sa mga biktima.

• Kinukuha ng pinagsamang mga function ng keylogging at screen-logging ang aktibidad ng user, habang patuloy na kinokolekta ang mga contact at notification.

• Tahimik na pinapalitan ng manipulasyon sa clipboard ang kinopyang mga address ng cryptocurrency wallet ng mga address na kontrolado ng attacker, na naglilipat ng mga pondo nang hindi nalalaman ng biktima.

Mga Patagong Teknik sa Pagsubaybay na Umiiwas sa Pagtuklas

Hindi tulad ng maraming pamilya ng malware sa Android na umaasa sa pagre-record ng screen batay sa MediaProjection, gumagamit ang Rokarolla ng mas tahimik na estratehiya sa pagsubaybay. Sa halip na mag-trigger ng mga nakikitang notification sa pagre-record, kumukuha ito ng mga screenshot sa pamamagitan ng Accessibility Services, kino-compress ang mga ito sa mga PNG file, at ipinapadala ang mga ito nang paisa-isa sa mga operator nito.

Binabawasan ng pamamaraang ito ang posibilidad ng pagtuklas habang nagbibigay pa rin sa mga umaatake ng detalyadong pagtingin sa aktibidad ng gumagamit. Kung ikukumpara sa mga nakatagong implementasyon ng VNC na ginagamit ng mga pamilya ng malware tulad ng HOOK at Klopatra, ang pagsubaybay batay sa screenshot ng Rokarolla ay mas simple at mas maingat.

Matatag na Imprastraktura at Lumalawak na Uso ng Malware

Ang malware ay ginawa upang mapaglabanan ang mga pagsisikap na maantala ang operasyon. Maraming backup command-and-control domain ang naka-embed sa loob ng code, at maaaring magtalaga ng mga karagdagang server ang mga operator nang dynamic na paraan kung kinakailangan. Bilang resulta, ang pag-disable sa isang command server ay may kaunting epekto sa pangkalahatang operasyon.

Ang malawak na hanay ng mga utos nito ay lumampas sa 107 na mga utos na dati nang naitala sa HOOK banking trojan, na sumasalamin sa lumalaking sopistikasyon ng Android banking malware na naobserbahan sa buong 2026. Ang pamamaraan ng pag-atake ay sumusunod sa isang pamilyar na padron na naging lalong karaniwan:

• Pamamahagi sa pamamagitan ng mga pekeng installer ng application.
• Pag-abuso sa Mga Serbisyo ng Accessibility para sa pagpapataas ng pribilehiyo at pagkontrol ng device.
• Paggamit ng mga overlay na nakabatay sa HTML upang mangalap ng mga kredensyal at sensitibong impormasyon.

Nananatiling Kritikal ang mga Hakbang na Depensa

Dahil ang Rokarolla ay malware sa halip na isang kahinaan ng software, walang security patch na kayang alisin ang banta. Ang proteksyon ay nakasalalay sa pagsunod sa mga itinatag na kasanayan sa seguridad ng Android.

Dapat lamang i-install ang mga application mula sa opisyal na Google Play Store, dapat manatiling naka-enable ang Google Play Protect sa lahat ng oras, at ang anumang hindi inaasahang kahilingan para sa mga pahintulot sa Accessibility ay dapat ituring bilang isang mahalagang babala. Ang access sa accessibility ang nagsisilbing pundasyon ng attack chain ng Rokarolla at nagbibigay-daan sa marami sa mga pinakamapanganib nitong kakayahan.

Hindi Pa Nakikilala ang Pagpapatungkol

Sa panahon ng pag-uulat, ang Rokarolla ay hindi pa naiuugnay sa anumang pampublikong kinikilalang aktor ng banta o cybercriminal na grupo. Gayunpaman, ang disenyo nito ay malinaw na nagpapakita ng isang sinasadyang pagsisikap na malampasan ang mismong mga proteksyon na hinihikayat na pagkatiwalaan ng mga gumagamit ng Android, kabilang ang Play Protect, mga pananggalang sa lock-screen, at iba pang built-in na mga kontrol sa seguridad.

Itinatampok ng mga kakayahan ng malware ang patuloy na ebolusyon ng mga trojan sa Android banking at ang lumalaking sopistikasyon ng mga banta sa mobile na may motibasyon sa pananalapi.