Trojan ngân hàng Rokarolla

Các nhà nghiên cứu an ninh mạng đã xác định một loại mã độc Trojan ngân hàng Android mới có tên là Rokarolla, được đặt theo tên cơ sở hạ tầng điều khiển và giám sát (C2) của nó. Phần mềm độc hại này được thiết kế để nhắm mục tiêu vào một loạt các dịch vụ tài chính, với khả năng tấn công 217 ứng dụng ngân hàng và tiền điện tử. Được trang bị 137 lệnh điều khiển từ xa, Rokarolla cung cấp cho tội phạm mạng khả năng kiểm soát đặc biệt cao đối với các thiết bị bị xâm nhập.

Sau khi được cài đặt, phần mềm độc hại này có thể loại bỏ các biện pháp bảo vệ màn hình khóa, chặn và gửi tin nhắn SMS, thao túng nội dung clipboard để chuyển hướng các giao dịch tiền điện tử, và thậm chí vô hiệu hóa các cơ chế bảo mật tích hợp sẵn của Google.

Phân phối trá hình thông qua các ứng dụng giả mạo

Rokarolla chủ yếu được phát tán thông qua các trang web độc hại giả mạo các ứng dụng hợp pháp và phổ biến, bao gồm TikTok và Google Chrome.

Ban đầu, nạn nhân tải xuống một ứng dụng dropper giả mạo Google Play Protect. Bằng cách lợi dụng vẻ ngoài đáng tin cậy này, ứng dụng dropper thuyết phục người dùng cấp quyền cho Dịch vụ Trợ năng và tạo điều kiện thuận lợi cho việc cài đặt phần mềm độc hại. Sau khi thực thi, một trong các lệnh của Rokarolla sẽ ngay lập tức vô hiệu hóa Play Protect, loại bỏ một lớp bảo mật quan trọng của Android.

Các cuộc tấn công chồng lớp được thiết kế để đánh cắp thông tin đăng nhập

Việc đánh cắp thông tin đăng nhập được thực hiện thông qua các cuộc tấn công lớp phủ tinh vi. Rokarolla lấy danh sách các ứng dụng mục tiêu từ máy chủ điều khiển của nó và tải xuống các trang đăng nhập HTML giả mạo tương ứng với các ứng dụng đó. Các giao diện giả mạo này được lưu trữ cục bộ và hiển thị bất cứ khi nào nạn nhân mở một ứng dụng ngân hàng hoặc tiền điện tử hợp pháp.

Các màn hình giả mạo được thiết kế để thu thập tất cả thông tin do người dùng nhập vào, bao gồm tên người dùng, mật khẩu và chi tiết thẻ thanh toán. Các nhà nghiên cứu đã quan sát thấy một ví dụ bắt chước rất thuyết phục ứng dụng ngân hàng 'imagin'.

Phần mềm độc hại này cũng triển khai một lớp phủ màn hình khóa Android giả mạo có khả năng thu thập mã PIN, hình vẽ và mật khẩu. Khả năng này cho phép kẻ tấn công duy trì quyền truy cập và kiểm soát ngay cả khi thiết bị bị khóa.

Đánh cắp thông tin đăng nhập, giám sát và gian lận tài chính trong cùng một gói.

Rokarolla kết hợp nhiều cơ chế giám sát và đánh cắp dữ liệu để tối đa hóa việc thu thập dữ liệu và lợi ích tài chính:

• Khả năng giám sát và gửi tin nhắn SMS đầy đủ cho phép chặn bắt mã xác thực một lần được sử dụng để xác thực ngân hàng và phê duyệt giao dịch.
• Bằng cách tự thiết lập mình làm ứng dụng nhắn tin và gọi điện mặc định của thiết bị, phần mềm độc hại có thể chặn các cuộc gọi đến, từ đó ngăn chặn các cảnh báo lừa đảo đến được với nạn nhân.

• Các chức năng ghi lại thao tác bàn phím và màn hình tích hợp giúp thu thập hoạt động của người dùng, đồng thời liên tục thu thập thông tin liên lạc và thông báo.

• Thao tác sao chép nội dung vào clipboard cho phép thay thế âm thầm các địa chỉ ví tiền điện tử đã sao chép bằng các địa chỉ do kẻ tấn công kiểm soát, chuyển hướng tiền mà nạn nhân không hề hay biết.

Các kỹ thuật giám sát bí mật giúp tránh bị phát hiện.

Không giống như nhiều họ phần mềm độc hại Android dựa vào việc ghi màn hình bằng MediaProjection, Rokarolla áp dụng chiến lược giám sát kín đáo hơn. Thay vì kích hoạt thông báo ghi hình hiển thị, nó chụp ảnh màn hình thông qua Dịch vụ Trợ năng, nén chúng thành các tệp PNG và truyền từng tệp riêng lẻ cho người điều hành.

Cách tiếp cận này giảm thiểu khả năng bị phát hiện trong khi vẫn cung cấp cho kẻ tấn công cái nhìn chi tiết về hoạt động của người dùng. So với các triển khai VNC ẩn được sử dụng bởi các họ phần mềm độc hại như HOOK và Klopatra, việc giám sát dựa trên ảnh chụp màn hình của Rokarolla đơn giản hơn và kín đáo hơn.

Cơ sở hạ tầng kiên cường và xu hướng phần mềm độc hại ngày càng gia tăng

Phần mềm độc hại này được thiết kế để chống lại các nỗ lực phá hoại. Nhiều miền điều khiển và quản trị dự phòng được nhúng trong mã nguồn, và người điều hành có thể tự động chỉ định thêm máy chủ khi cần thiết. Do đó, việc vô hiệu hóa một máy chủ điều khiển duy nhất hầu như không ảnh hưởng đến hoạt động tổng thể.

Bộ lệnh mở rộng của nó vượt xa 107 lệnh đã được ghi nhận trước đây trong phần mềm độc hại ngân hàng HOOK, phản ánh sự tinh vi ngày càng tăng của phần mềm độc hại ngân hàng Android được quan sát thấy trong suốt năm 2026. Phương thức tấn công tuân theo một mô hình quen thuộc ngày càng phổ biến:

• Phân phối thông qua các trình cài đặt ứng dụng giả mạo.
• Lạm dụng các dịch vụ hỗ trợ tiếp cận để leo thang đặc quyền và kiểm soát thiết bị.
• Sử dụng các lớp phủ dựa trên HTML để thu thập thông tin đăng nhập và thông tin nhạy cảm.

Các biện pháp phòng thủ vẫn rất quan trọng.

Vì Rokarolla là phần mềm độc hại chứ không phải lỗ hổng bảo mật, nên hiện chưa có bản vá bảo mật nào có thể loại bỏ mối đe dọa này. Việc bảo vệ phụ thuộc vào việc tuân thủ các quy tắc bảo mật Android đã được thiết lập.

Chỉ nên cài đặt ứng dụng từ cửa hàng Google Play chính thức, luôn bật Google Play Protect và bất kỳ yêu cầu cấp quyền Trợ năng nào không mong muốn đều nên được coi là dấu hiệu cảnh báo nghiêm trọng. Quyền truy cập Trợ năng là nền tảng của chuỗi tấn công của Rokarolla và cho phép nhiều khả năng nguy hiểm nhất của nó.

Nguồn gốc tác giả vẫn chưa được xác định.

Tính đến thời điểm đưa tin, Rokarolla chưa được liên kết với bất kỳ tác nhân đe dọa hoặc nhóm tội phạm mạng nào đã được công khai. Tuy nhiên, thiết kế của nó rõ ràng cho thấy một nỗ lực có chủ đích nhằm vượt qua chính những biện pháp bảo vệ mà người dùng Android được khuyến khích tin tưởng, bao gồm Play Protect, các biện pháp bảo vệ màn hình khóa và các biện pháp kiểm soát an ninh tích hợp khác.

Khả năng của phần mềm độc hại này cho thấy sự phát triển không ngừng của các phần mềm độc hại ngân hàng trên Android và sự tinh vi ngày càng tăng của các mối đe dọa trên thiết bị di động có động cơ tài chính.