Новиот Android малициозен софтвер Rokarolla краде PIN-кодови, SMS-кодови и средства од крипто-паричници

Безбедносните истражувачи од Zimperium zLabs документирале нов Android банкарски тројанец наречен Rokarolla, кој таргетира 217 банкарски и криптовалутни апликации и содржи дури 137 команди за далечинско управување.

Овие можности му овозможуваат на операторот речиси целосна контрола врз заразениот телефон: кражба на PIN-кодови за заклучување на екранот, читање и испраќање SMS-пораки, менување на содржината во clipboard за пренасочување на криптовалутни трансакции и исклучување на Google Play Protect.

Rokarolla, именуван според своите командно-контролни (C2) сервери, се шири преку злонамерни веб-страници кои се претставуваат како популарни апликации, како што се TikTok и Google Chrome.

Првата компонента што жртвата ја инсталира е таканаречен „dropper“ кој се претставува како Google Play Protect. Преку оваа измама, тој го инсталира главниот малициозен софтвер и добива Accessibility дозволи. Откако ќе се активира, една од неговите команди го исклучува Play Protect.

Кражбата на податоци се изведува преку таканаречени „overlay“ напади. Rokarolla презема листа на таргетирани апликации од својот сервер и за секоја активна апликација симнува лажна HTML-страница за најава, која ја зачувува локално. Кога корисникот ќе ја отвори вистинската банкарска или крипто-апликација, малициозниот софтвер ја прикажува лажната страница над оригиналната и ги снима сите внесени податоци, вклучувајќи ги и податоците од платежните картички.

Во извештајот е прикажан пример на лажна страница што ја имитира банкарската апликација imagin. Дополнително, Rokarolla користи и лажен екран за заклучување на Android за да ги украде PIN-кодовите, шаблоните за отклучување или лозинките, што му овозможува на напаѓачот да управува со телефонот дури и кога е заклучен.

Малициозниот софтвер ги чита сите SMS-пораки на уредот и може самостојно да испраќа пораки. Ова му овозможува да ги пресретне еднократните SMS-кодови што банките ги користат за потврда на најавувања и трансакции.

Со поставување како стандардна апликација за пораки и телефонски повици, Rokarolla може и да блокира дојдовни повици. На тој начин, предупредувачки повик од банката за сомнителна активност може никогаш да не стигне до жртвата.

Keylogger и screen logger модулите бележат што корисникот пишува и што гледа на екранот, додека тројанецот ги собира контактите и ги чита известувањата од уредот. Исто така, незабележливо ја менува содржината на clipboard-от, заменувајќи ги адресите на крипто-паричници со адреси контролирани од напаѓачот, така што копираната крипто-трансакција завршува на погрешна сметка.

За надзор, Rokarolla не го користи вообичаениот Android механизам MediaProjection за снимање на екранот, бидејќи тој прикажува видливо известување за снимање. Наместо тоа, преку Accessibility услугите прави слики од екранот (screenshots), ги компресира во PNG формат и ги испраќа една по една до командно-контролниот сервер. Овој пристап со поединечни снимки е поедноставен и потивок од скриените VNC решенија што се среќаваат кај семејства на малициозен софтвер како Klopatra.

Малициозниот софтвер содржи повеќе резервни C2 (Command-and-Control) домени и може динамички да добива нови адреси на сервери, што значи дека исклучувањето на еден сервер има ограничен ефект. Со своите 137 команди, Rokarolla ги надминува 107-те команди што Zimperium ги изброил кај тројанецот HOOK. Тактиките се слични на оние што се забележуваат кај голем број Android банкарски тројанци во 2026 година: лажни инсталатери на апликации, злоупотреба на Accessibility дозволи и HTML overlay напади.

За оваа закана не постои безбедносна закрпа, бидејќи станува збор за малициозен софтвер, а не за пропуст во некој производ. Затоа, одбраната се сведува на стандардните мерки против Android банкарски тројанци:

• Инсталирајте апликации исклучиво од официјалната продавница Google Play Store.
• Никогаш не го исклучувајте Google Play Protect.
• Секое неочекувано барање за Accessibility дозволи сметајте го за сериозен предупредувачки знак, бидејќи токму таа дозвола е клучна за целиот синџир на нападот.
• Проверувајте дали апликациите бараат привилегии што не се поврзани со нивната намена.

Zimperium соопшти дека неговите безбедносни производи го детектираат ова семејство на малициозен софтвер, а индикаторите за компромитација (IoCs) се достапни во нивното GitHub складиште.

Истражувачите не го поврзале Rokarolla со конкретна хакерска група. Сепак, анализата на неговата структура покажува јасна намера: банкарски тројанец создаден специјално за да ги заобиколи механизмите на кои корисниците најмногу им веруваат за заштита, од Google Play Protect па сè до заклучениот екран на телефонот.

Извори:

• The Hacker News – New Rokarolla Android Malware Steals PINs, SMS Codes, and Crypto Wallet Funds The Hacker News