Банківський троян Rokarolla
Дослідники з кібербезпеки виявили новий банківський троян для Android, відомий як Rokarolla, названий на честь його інфраструктури командування та управління (C2). Шкідливе програмне забезпечення розроблене для атаки на широкий спектр фінансових послуг, маючи можливість атакувати 217 банківських та криптовалютних програм. Оснащений 137 віддаленими командами, Rokarolla надає кіберзлочинцям винятковий рівень контролю над скомпрометованими пристроями.
Після встановлення шкідливе програмне забезпечення може знімати захист екрана блокування, перехоплювати та надсилати SMS-повідомлення, маніпулювати вмістом буфера обміну для перенаправлення переказів криптовалюти та навіть вимикати вбудовані механізми безпеки Google.
Зміст
Приховане розповсюдження через фальшиві програми
Rokarolla поширюється переважно через шкідливі веб-сайти, що маскуються під легітимні та популярні програми, зокрема TikTok та Google Chrome.
Спочатку жертви завантажують додаток-дроппер, який імітує Google Play Protect. Використовуючи цей надійний вигляд, дроппер переконує користувачів надати дозволи Службі доступності та сприяє встановленню шкідливого корисного навантаження. Після виконання одна з команд Rokarolla негайно вимикає Play Protect, усуваючи важливий рівень безпеки Android.
Накладні атаки, розроблені для крадіжки облікових даних
Крадіжка облікових даних здійснюється за допомогою складних оверлейних атак. Rokarolla отримує список цільових програм зі свого командного сервера та завантажує шахрайські HTML-сторінки входу, що відповідають цим програмам. Ці підроблені інтерфейси зберігаються локально та відображаються щоразу, коли жертва відкриває легітимний банківський або криптовалютний додаток.
Підроблені екрани розроблені для фіксації всієї інформації, введеної користувачем, включаючи імена користувачів, паролі та дані платіжної картки. Дослідники спостерігали один приклад, який переконливо імітував банківський додаток «imagin».
Шкідливе програмне забезпечення також розгортає підроблений накладний екран блокування Android, здатний збирати PIN-коди, графічні ключі та паролі. Ця функція дозволяє зловмисникам зберігати доступ і контроль навіть тоді, коли пристрій заблоковано.
Крадіжка облікових даних, стеження та фінансове шахрайство в одному пакеті
Rokarolla поєднує кілька механізмів спостереження та крадіжки для максимізації збору даних та фінансового прибутку:
- Повний моніторинг SMS та можливості надсилання повідомлень дозволяють перехоплювати одноразові паролі, що використовуються для банківської автентифікації та схвалення транзакцій.
- Призначаючи себе програмою для обміну повідомленнями та дзвінків за замовчуванням на пристрої, шкідливе програмне забезпечення може блокувати вхідні дзвінки, потенційно запобігаючи потраплянню попереджень про шахрайство до жертв.
Приховані методи моніторингу уникають виявлення
На відміну від багатьох сімейств шкідливих програм для Android, які покладаються на запис екрану на основі MediaProjection, Rokarolla використовує тихішу стратегію спостереження. Замість того, щоб запускати видимі сповіщення про запис, вона робить знімки екрана через Служби доступності, стискає їх у файли PNG та передає окремо своїм операторам.
Такий підхід знижує ймовірність виявлення, водночас надаючи зловмисникам детальний огляд активності користувачів. Порівняно з прихованими реалізаціями VNC, що використовуються такими сімействами шкідливих програм, як HOOK та Klopatra, моніторинг Rokarolla на основі скріншотів є водночас простішим та непомітнішим.
Стійка інфраструктура та зростаюча тенденція до поширення шкідливого програмного забезпечення
Шкідливе програмне забезпечення створене для того, щоб витримувати спроби порушення роботи. У код вбудовано кілька резервних доменів командування та управління, і оператори можуть динамічно призначати додаткові сервери за потреби. Як результат, вимкнення одного командного сервера мало впливає на загальну роботу.
Його розширений набір команд перевищує 107 команд, раніше задокументованих у банківського трояна HOOK, що відображає зростаючу складність банківського шкідливого програмного забезпечення для Android, яке спостерігалося протягом 2026 року. Методологія атаки відповідає знайомій схемі, яка стає все більш поширеною:
- Розповсюдження через фальшиві інсталятори програм.
- Зловживання послугами доступності для підвищення привілеїв та контролю пристроїв.
- Використання накладень на основі HTML для збору облікових даних та конфіденційної інформації.
Оборонні заходи залишаються критично важливими
Оскільки Rokarolla є шкідливим програмним забезпеченням, а не програмною вразливістю, не існує патчу безпеки, здатного усунути цю загрозу. Захист залежить від дотримання встановлених практик безпеки Android.
Програми слід встановлювати лише з офіційного магазину Google Play, Google Play Protect має бути завжди ввімкненим, а будь-який неочікуваний запит на дозволи доступності слід розглядати як серйозний попереджувальний знак. Доступ доступності слугує основою ланцюжка атак Rokarolla та забезпечує багато його найнебезпечніших можливостей.
Атрибуція залишається невідомою
На момент публікації звіту Rokarolla не пов’язували з жодним публічно ідентифікованим зловмисником чи кіберзлочинною групою. Тим не менш, його дизайн чітко демонструє навмисну спробу обійти ті самі засоби захисту, яким користувачі Android радять довіряти, включаючи Play Protect, захист екрана блокування та інші вбудовані засоби безпеки.
Можливості шкідливого програмного забезпечення підкреслюють постійну еволюцію банківських троянів для Android та зростаючу складність фінансово мотивованих мобільних загроз.