✔Android-вредонос Rokarolla атакует 217 банковских и криптовалютных приложений - «Новости»
Аналитики компании Zimperium обнаружили новый Android-банкер Rokarolla. Малварь распространяется через сайты, которые маскируются под страницы для загрузки популярных приложений вроде Chrome и TikTok. После заражения вредонос получает практически полный контроль над устройством жертвы.
По данным исследователей, вредонос нацелен как минимум на 217 банковских и криптовалютных приложений и оснащен набором из 137 команд для удаленного управления зараженным устройством. Отмечается, что по этому показателю Rokarolla даже превосходит известный троян HOOK, способный выполнять 107 команд.
Цепочка заражения Rokarolla начинается с дроппера, который выдает себя за Google Play Protect. Под предлогом установки Chrome или TikTok он убеждает пользователя предоставить доступ к Accessibility Service, а затем разворачивает основную полезную нагрузку.
Запрос прав для работы с Accessibility Service
После запуска троян стремится отключить настоящую защиту Google Play Protect. Далее вредонос связывается с управляющим сервером и отправляет своим операторам сведения о зараженном устройстве: модель смартфона, версию Android, язык системы, параметры экрана, уровень заряда батареи, объем памяти и так далее. На основе этой информации для каждой жертвы формируется уникальный идентификатор.
Основная задача Rokarolla — кража финансовых данных. Для этого вредонос проверяет наличие на устройстве целевых приложений и загружает для них соответствующие фишинговые шаблоны. В результате, когда пользователь запускает банковское приложение или криптокошелек, поверх настоящего окна отображается поддельная HTML-форма авторизации. Все введенные в нее данные, включая логины, пароли и реквизиты карт, передаются злоумышленникам.
При этом оверлеи используются не только для фишинга. Отдельная поддельная форма имитирует экран блокировки Android и позволяет похищать PIN-коды, графические ключи и пароли разблокировки. Это позволяет злоумышленникам выполнять действия, которые обычно недоступны на заблокированном смартфоне.
Кроме того, Rokarolla может читать и отправлять SMS-сообщения, что позволяет хакерам перехватывать одноразовые коды подтверждения. Также, если вредонос получает в системе статус приложения по умолчанию для звонков и сообщений, он может блокировать входящие вызовы (в том числе предупреждения от банков о подозрительных операциях).
Схема атаки
Помимо перечисленного в арсенале малвари имеется кейлоггер, инструменты для логирования действий в интерфейсе, сбора контактов и уведомлений, а также функции для работы с буфером обмена, благодаря которым троян подменяет скопированные в буфер адреса криптокошельков на адреса атакующих.
Для слежки за пользователем Rokarolla не использует стандартный механизм записи экрана через MediaProjection, так как это приводит к отображению заметного предупреждения. Вместо этого малварь делает последовательные скриншоты через Accessibility API, сохраняет их в формате PNG и по одному отправляет на свой управляющий сервер.
Также троян использует несколько резервных C&C-доменов, что затрудняет блокировку инфраструктуры, и способен скрывать свою активность, удаляя значок из списка приложений, отключая звук и вибрацию, не давая экрану перейти в спящий режим.
В Zimperium напоминают пользователям, что загружать приложения рекомендуется только из магазина Google Play, никогда не следует отключать Play Protect, а также нужно внимательно относиться к любым неожиданным запросам доступа к сервисам специальных возможностей.
