Rokarolla: Android-вредонос для кражи банковских данных

Rokarolla: новое Android ВПО для банковского мошенничества маскируется под TikTok и Google Chrome

Rokarolla — недавно выявленное Android ВПО, ориентированное на банковское мошенничество и кражу учетных данных. По данным отчета, оно распространяется через вредоносные веб-сайты и поддельные порталы загрузки, где маскируется под доверенные приложения, включая TikTok, Google Chrome и даже Google Play Protect.

Злоумышленники используют этот подход, чтобы убедить пользователя установить вредоносное приложение и предоставить ему чувствительные разрешения. После этого Rokarolla получает доступ к функциям устройства, необходимым для слежки, перехвата данных и организации финансового мошенничества.

Широкая цель: 217 банковских и crypto приложений

Отчет указывает, что Rokarolla нацелено на 217 банковских и криптовалютных приложений. Для атаки используется комбинация техник, включая:

  • фишинг-оверлеи;
  • перехват SMS;
  • регистрация нажатий клавиш;
  • мониторинг экрана;
  • блокировка вызовов.

Такой набор функций позволяет вредоносному ПО действовать скрытно: перехватывать учетные данные, контролировать коммуникации и удерживать управление над зараженным устройством при минимальном внимании со стороны пользователя.

Как происходит заражение

Rokarolla внедряется через поддельные сайты распространения software, которые предлагают фейковые приложения. На этапе установки злоумышленники используют социальную инженерию: приложение выдается за легитимный инструмент защиты, что повышает доверие жертвы.

После установки вредоносное ПО запрашивает доступ к критически важным функциям устройства. Этот этап имеет ключевое значение: именно он открывает Rokarolla путь к слежке, перехвату сообщений и выполнению мошеннических сценариев.

C2-инфраструктура и управление зараженными устройствами

Операция Rokarolla опирается на устойчивую C2 infrastructure, использующую протокол HTTPS для связи. ВПО собирает детальные telemetries с устройства, формируя уникальный профиль каждой зараженной системы.

Для повышения устойчивости инфраструктуры предусмотрены:

  • несколько резервных доменов;
  • динамическая configuration;
  • механизмы закрепления на зараженном устройстве.

По данным отчета, операторы получают доступ как минимум к 137 командам. Через них они могут управлять устройствами, собирать учетные записи и запускать мошеннические операции.

Основные техники атаки

Одним из ключевых векторов является отображение HTML-based phishing overlays, которые имитируют экраны входа в legitimate приложения. В результате пользователь вводит свои данные прямо в интерфейс, контролируемый злоумышленниками.

Rokarolla также умеет похищать учетные данные для разблокировки Android-устройств. Для этого оно показывает поддельные overlays экрана блокировки и выманивает PIN-коды и пароли.

Отдельную угрозу представляет перехват коммуникаций. ВПО способно:

  • красть SMS-сообщения;
  • перехватывать codes аутентификации;
  • подрывать механизмы восстановления учетных записей, основанные на SMS.

Кроме того, Rokarolla может блокировать или отключать телефонные calls, что мешает пользователю получать предупреждения о потенциально мошеннической активности.

Скрытое наблюдение и контроль

ВПО использует систему мониторинга на основе screenshots, периодически захватывая изображение экрана и отправляя визуальную информацию злоумышленникам. В отличие от непрерывной video-streaming передачи, такой подход снижает заметность и позволяет вести скрытое наблюдение за действиями пользователя.

Авторы отчета отмечают, что эта реализация показывает продуманную архитектуру вредоносного ПО и его нацеленность не только на кражу данных, но и на длительный контроль над устройством.

Тактики уклонения и устойчивость

Важная особенность Rokarolla — многоуровневый подход к краже данных и мошенничеству. ВПО сочетает несколько методов захвата информации с приемами уклонения от обнаружения.

В частности, оно может:

  • отключать Google Play Protect;
  • манипулировать настройками устройства;
  • снижать вероятность обнаружения со стороны средств защиты.

Такая адаптивность делает Rokarolla устойчивым к противодействию и опасным инструментом в современной экосистеме Android-угроз.

Что рекомендуют защитники

Специалисты по безопасности советуют сосредоточиться на следующих признаках компрометации:

  • несанкционированное использование Accessibility Services;
  • подозрительные overlays поверх легитимных приложений;
  • изменения в обработке SMS;
  • тщательная проверка запросов permissions, которые запрашивают приложения.

Отдельное внимание рекомендуется уделять приложениям, которые требуют доступ к чувствительным функциям устройства без очевидной необходимости.

Вывод

Появление Rokarolla подтверждает устойчивую тенденцию в развитии Android ВПО для банковского мошенничества: злоумышленники всё чаще создают не просто инструменты для кражи учетных данных, а полноценные платформы для проведения fraud-операций.

По мере усложнения подобных угроз ключевую роль будет играть доступ к разнообразным sources of threat intelligence, позволяющим выявлять и предотвращать атаки на ранних этапах их жизненного цикла.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: