Rokarolla: nowy trojan bankowy na Androida atakuje ponad 200 aplikacji - Security Bez Tabu

Rokarolla: nowy trojan bankowy na Androida atakuje ponad 200 aplikacji

Cybersecurity news

Wprowadzenie do problemu / definicja

Rokarolla to nowo opisana rodzina złośliwego oprogramowania dla systemu Android, klasyfikowana jako trojan bankowy. Jej głównym celem jest kradzież danych uwierzytelniających, przejęcie kontroli nad urządzeniem oraz pozyskanie informacji finansowych i komunikacyjnych użytkownika. Zagrożenie wpisuje się w rosnący trend mobilnych kampanii malware, które łączą phishing nakładkowy, nadużycia usług dostępności i mechanizmy omijania zabezpieczeń systemowych.

W skrócie

  • Rokarolla ma być wymierzony w 217 aplikacji bankowych i kryptowalutowych.
  • Malware jest dystrybuowany przez złośliwe strony podszywające się pod znane aplikacje, takie jak Chrome czy TikTok.
  • Po instalacji próbuje uzyskać szerokie uprawnienia, przechwytuje dane logowania, SMS-y i wpisywany tekst.
  • Zagrożenie potrafi wyświetlać nakładki phishingowe, manipulować schowkiem i wspierać przejęcie urządzenia nawet po jego zablokowaniu.

Kontekst / historia

Mobilne trojany bankowe od lat koncentrują się na urządzeniach z Androidem, ponieważ platforma ta pozostaje jednym z najczęstszych celów kampanii opartych na fałszywych instalatorach, socjotechnice i nadużyciach uprawnień. Rokarolla stanowi kolejny etap ewolucji tego typu zagrożeń, ponieważ nie ogranicza się do prostego przechwytywania formularzy logowania, ale łączy wiele funkcji charakterystycznych dla nowoczesnego malware finansowego.

W opisywanym przypadku operatorzy kampanii wykorzystują fałszywe strony dystrybucyjne i maskują złośliwe aplikacje jako legalne, rozpoznawalne programy. Taki model dostarczania ładunku pozostaje skuteczny, ponieważ bazuje na zaufaniu użytkowników do znanych marek i zwiększa prawdopodobieństwo ręcznej instalacji pakietu spoza oficjalnego sklepu.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od pobrania fałszywej aplikacji z infrastruktury kontrolowanej przez atakujących. Program podszywa się pod legalne oprogramowanie, a następnie dostarcza właściwy ładunek, wykorzystując fałszywą warstwę imitującą mechanizmy ochronne Androida. Celem jest przekonanie ofiary do zaakceptowania żądań uprawnień i kontynuowania instalacji.

Po skutecznej infekcji Rokarolla żąda rozległych uprawnień. Kluczowe znaczenie ma nadużycie usług dostępności, które umożliwia odczyt struktury aktywnego ekranu, interakcję z interfejsem użytkownika oraz monitorowanie działań wykonywanych w innych aplikacjach.

  • identyfikowanie uruchomienia wybranych aplikacji bankowych i kryptowalutowych,
  • wyświetlanie nakładek phishingowych w celu wyłudzenia danych logowania,
  • przechwytywanie wpisywanego tekstu w charakterze keyloggera,
  • pozyskiwanie danych kontaktowych i zawartości interfejsu komunikatorów,
  • wspieranie przejęcia sesji i działań wykonywanych na urządzeniu.

Jednym z bardziej niebezpiecznych aspektów Rokarolli jest możliwość pozyskiwania danych blokady ekranu, takich jak PIN, wzór lub hasło. W praktyce oznacza to, że operatorzy zagrożenia mogą uzyskać możliwość odblokowania urządzenia i kontynuowania kradzieży danych nawet wtedy, gdy telefon nie jest aktywnie używany przez właściciela.

Malware potrafi również przechwytywać wiadomości SMS i połączenia, co ma istotne znaczenie dla obchodzenia mechanizmów uwierzytelniania wieloskładnikowego opartych na kodach SMS lub połączeniach weryfikacyjnych. Dodatkowo Rokarolla manipuluje schowkiem systemowym, podmieniając adresy portfeli kryptowalutowych na kontrolowane przez atakujących. Funkcja ta jest szczególnie groźna dla użytkowników realizujących transfery aktywów cyfrowych z poziomu smartfona.

Kolejna warstwa operacyjna obejmuje wykonywanie zrzutów ekranu i ich kompresowanie do formatu PNG przed eksfiltracją wraz ze znacznikiem czasu. Daje to operatorowi możliwość odtwarzania aktywności ofiary, analizy danych prezentowanych w aplikacjach finansowych i monitorowania przebiegu oszustwa niemal w czasie rzeczywistym.

Rokarolla wykorzystuje także techniki unikania detekcji, w tym ukrywanie ikony aplikacji, wyłączanie lub osłabianie mechanizmów Google Play Protect oraz wyciszanie dźwięków i wibracji urządzenia. W praktyce ogranicza to szansę, że użytkownik zauważy alert bezpieczeństwa, wiadomość ostrzegawczą lub połączenie z banku podczas nieautoryzowanej operacji.

Konsekwencje / ryzyko

Ryzyko związane z Rokarollą należy ocenić jako wysokie, szczególnie dla osób korzystających z bankowości mobilnej i aplikacji kryptowalutowych. Zagrożenie nie kończy się na pojedynczej kradzieży hasła. Dzięki połączeniu phishingu nakładkowego, keyloggera, przechwytywania SMS-ów, odczytu ekranu i możliwości przejęcia blokady urządzenia malware może prowadzić do pełnego skompromitowania cyfrowej tożsamości ofiary.

  • kradzież loginów i haseł do bankowości mobilnej,
  • obejście mechanizmów drugiego składnika opartych na SMS,
  • nieautoryzowane transakcje finansowe,
  • przejęcie kont w komunikatorach i usługach powiązanych z numerem telefonu,
  • kradzież środków z portfeli kryptowalutowych poprzez podmianę adresów,
  • utrata prywatności wskutek eksfiltracji danych z ekranu i komunikacji,
  • dalsze wykorzystanie przejętego urządzenia w kolejnych etapach oszustwa.

Dla organizacji zagrożenie ma także wymiar biznesowy. Jeśli pracownicy korzystają z urządzeń z dostępem do aplikacji firmowych, przejęcie smartfona może stać się punktem wejścia do szerszego ataku, zwłaszcza gdy urządzenie odbiera kody MFA, powiadomienia autoryzacyjne lub zapewnia dostęp do poczty służbowej.

Rekomendacje

Podstawową rekomendacją jest ograniczenie instalacji aplikacji wyłącznie do zaufanych, oficjalnych źródeł. Kampanie takie jak Rokarolla bazują na nakłonieniu użytkownika do instalacji pakietu spoza kontrolowanego ekosystemu dystrybucji. W środowiskach firmowych warto egzekwować polityki MDM lub MAM blokujące sideloading oraz wymuszające zgodność urządzeń z polityką bezpieczeństwa.

  • wyłączyć możliwość instalacji aplikacji z nieznanych źródeł,
  • regularnie aktualizować system Android i aplikacje,
  • ograniczać nadawanie uprawnień usług dostępności wyłącznie do rzeczywiście potrzebnych programów,
  • monitorować żądania dostępu do SMS, połączeń, nakładek ekranowych i funkcji administracyjnych,
  • stosować mobilne rozwiązania EDR lub MTD do wykrywania anomalii,
  • weryfikować adresy portfeli kryptowalutowych przed zatwierdzeniem transakcji,
  • preferować silniejsze metody MFA niż same kody SMS, jeśli usługa je wspiera,
  • szkolić użytkowników z rozpoznawania fałszywych instalatorów i stron podszywających się pod znane aplikacje.

W organizacjach zalecane jest także korelowanie zdarzeń z urządzeń mobilnych z systemami SOC, analiza telemetryczna dotycząca nadużyć usług dostępności oraz wdrożenie procedur szybkiej izolacji urządzenia podejrzanego o infekcję. W przypadku wykrycia kompromitacji należy niezwłocznie odciąć urządzenie od kont finansowych i usług krytycznych, zmienić hasła, unieważnić aktywne sesje oraz przeprowadzić przegląd transakcji i logów uwierzytelnienia.

Podsumowanie

Rokarolla pokazuje, że współczesny trojan bankowy na Androida może łączyć funkcje szpiegowskie, phishingowe i operacyjne w jednym zestawie narzędzi. Atak nie ogranicza się do prostego wyłudzenia hasła, lecz dąży do trwałego przejęcia urządzenia, obejścia zabezpieczeń i ukrycia swojej aktywności przed użytkownikiem. Dla obrońców oznacza to konieczność traktowania bezpieczeństwa mobilnego jako integralnej części strategii ochrony tożsamości, bankowości elektronicznej i dostępu do zasobów organizacji.

Źródła

  1. SecurityWeek — Rokarolla Banking Trojan Targets 200 Applications — https://www.securityweek.com/rokarolla-banking-trojan-targets-200-applications/
  2. Zimperium zLabs — https://zimperium.com/