Rokarolla Android banki trójai
A Zimperium zLabs kutatói egy új Android banki trójait azonosítottak Rokarolla néven, amely a jelenlegi mobilbanki kártevők egyik legösszetettebb példája. A malware legalább 217 banki és kriptovaluta-alkalmazást céloz, és a vezérlőszerverről érkező 137 különböző parancs révén gyakorlatilag teljes irányítást biztosít a fertőzött készülék felett.
A fertőzés jellemzően hamis TikTok-, Chrome- vagy egyéb népszerű alkalmazásokat utánzó weboldalakról indul. A felhasználó először egy dropper alkalmazást telepít, amely Google Play Protect komponensnek adja ki magát, majd Accessibility jogosultságokat szerez és telepíti a tényleges kártevőt. Az első végrehajtott műveletek között szerepel a Google Play Protect kikapcsolása, ezzel csökkentve a felfedezés esélyét.
A Rokarolla klasszikus overlay támadásokat használ, amikor a felhasználó megnyit egy célzott banki vagy kriptotárca-alkalmazást, a malware egy C2 szerverről letöltött hamis bejelentkezési felületet jelenít meg az eredeti alkalmazás fölött. Emellett képes hamis zárolási képernyőt is megjeleníteni, így megszerezheti a PIN-kódot, mintát vagy jelszót. A kártevő SMS-eket olvas és küld, naplózza a billentyűleütéseket, hozzáfér az értesítésekhez, valamint képes elfogni az egyszer használatos hitelesítési kódokat is.
A Rokarolla nemcsak banki adatlopásra alkalmas, módosítani tudja a vágólap tartalmát, így kriptovaluta-utalások során a címzett pénztárcacímét támadói címre cserélheti. Képes blokkolni a bejövő hívásokat, elrejteni saját ikonját, elnémítani a készüléket, valamint Accessibility funkciókon keresztül képernyőképeket készíteni a felhasználói aktivitás megfigyelésére.
A mobilbanki malware-ek fejlődése során a cél már nem pusztán hitelesítő adatok megszerzése, hanem a készülék teljes kompromittálása. A támadók így a felhasználó nevében hajthatnak végre tranzakciókat, miközben a bank számára a műveletek legitim mobilalkalmazásból érkező, szabályos ügyféltevékenységnek tűnhetnek.
