Новий вірус Rokarolla атакує сотні застосунків для банкінгу і криптовалют
- Zimperium повідомила про новий банківський троян Rokarolla для Android.
- Шкідливе ПЗ націлене на 217 банківських і криптовалютних застосунків.
- Rokarolla поширюється через сайти, які імітують завантаження Google Chrome або TikTok.
- Троян може викрадати фінансові дані, SMS, контакти, PIN-коди та вміст екрана.
- Google заявила, що Play Protect захищає користувачів від відомих версій Rokarolla.
Дослідники Zimperium повідомили про новий банківський троян для Android під назвою Rokarolla. Шкідливе програмне забезпечення націлене на 217 банківських і криптовалютних застосунків та підтримує 137 команд для керування зараженим пристроєм. Про це повідомляє BleepingComputer.
Rokarolla поширюється через шкідливі сайти, які видають себе за сторінки для встановлення Google Chrome або TikTok. Під час інсталяції шкідливий застосунок працює як дропер і імітує Google Play Protect — вбудовану систему захисту Android. Користувачу пропонують встановити Chrome або TikTok, але разом із ними на пристрій потрапляє Rokarolla.
Після запуску Rokarolla запитує дозволи для служб доступності, а також доступ до сповіщень, SMS і дзвінків. Завдяки цим дозволам шкідливе ПЗ може отримати розширений контроль над інтерфейсом пристрою та діями користувача.
Після зараження Rokarolla зв’язується з командним сервером і надсилає базовий профіль пристрою. До нього входять модель телефона, версія Android, локаль, характеристики дисплея, рівень заряду батареї, обсяг сховища та доступна оперативна пам’ять. За даними Zimperium, ця інформація використовується для створення унікального ідентифікатора кожної жертви в межах кампанії Rokarolla.
Основною метою Rokarolla дослідники називають крадіжку фінансових даних. Для цього троян перевіряє заражений пристрій на наявність застосунків зі списку 217 цілей. Якщо збіг знайдено, шкідливе ПЗ завантажує відповідний фішинговий модуль.
Коли користувач відкриває один із цільових застосунків, Rokarolla показує фальшиве вікно входу поверх справжнього інтерфейсу. Так зловмисники можуть викрадати логіни, паролі, дані банківських карток та іншу фінансову інформацію.
Механізм накладених вікон використовується не лише для крадіжки даних. Rokarolla також може перехоплювати PIN-код або графічний ключ екрана блокування, щоб працювати з пристроєм навіть після його блокування. Крім того, такі вікна допомагають приховувати активність шкідливого ПЗ і блокувати взаємодію користувача з пристроєм, коли це потрібно операторам трояна.
Серед інших методів ухилення від виявлення Zimperium називає вимкнення Google Play Protect, приховування іконки застосунку з меню, вимкнення звуку й вібрації, а також утримання екрана постійно активним.
Zimperium опублікувала на GitHub перелік усіх 137 команд, доступних Rokarolla. Серед можливостей трояна:
- викрадення SMS-повідомлень;
- отримання контактів і контактів WhatsApp;
- запис натискань клавіш;
- запис вмісту екрана через журналювання інтерфейсу;
- копіювання та зміна вмісту буфера обміну;
- блокування вхідних дзвінків і банківських сповіщень про шахрайство;
- регулярне створення скриншотів і передавання їх із часовими мітками.
Поєднання цих можливостей дає операторам Rokarolla майже повний адміністративний контроль над зараженим Android-пристроєм. Це дозволяє використовувати троян для складних схем фінансового шахрайства.
Zimperium не виявила Rokarolla в Google Play. Користувачам рекомендують не завантажувати APK-файли поза Google Play, якщо вони не довіряють видавцю застосунку.
Також варто уважно ставитися до запитів на доступ до служб доступності. Такі дозволи можуть використовуватися для обходу стандартних механізмів захисту Android, взаємодії з інтерфейсом і підтвердження системних запитів від імені користувача.
Google заявила, що користувачі Android автоматично захищені від відомих версій цього шкідливого ПЗ через Google Play Protect, який за замовчуванням увімкнений на пристроях Android із Google Play Services.
