Forscher haben einen neuen Android namens Rokarolla analysiert. Er kann ein Gerät effektiv unter seine Kontrolle bringen, Anmeldedaten für Online-Banking und Kryptowährungen aus mehr als 200 Apps stehlen und einen Großteil Ihrer Aktivitäten auf dem Smartphone unbemerkt überwachen.
Auf einem infizierten Gerät stiehlt Rokarolla Anmeldedaten für Online-Banking und Kryptowährungsdienste. Außerdem nutzt es gefälschte Sperrbildschirm-Overlays, um Ihre PIN, Ihr Muster oder Ihr Passwort abzufangen.
Wenn Sie eine der Banking- oder Krypto-Apps aus der Zielliste von Rokarolla öffnen, lädt die Malware eine entsprechende gefälschte Anmeldeseite herunter und blendet diese über die echte App ein. Alle Daten, die Sie auf der gefälschten Seite eingeben – darunter Benutzernamen, Passwörter und Kartennummern – werden an die Angreifer übermittelt.
Darüber hinaus missbraucht Rokarolla die Barrierefreiheitsfunktionen Android, um die Aktivitäten auf dem gesamten Gerät zu überwachen. Die Malware kann WhatsApp-Bildschirme erkennen, indem sie nach bekannten Bezeichnungen wie „Chats“ und „Anrufe“ sucht, Kontaktdaten extrahiert, SMS-Nachrichten liest und neue versendet. Diese Fähigkeiten ermöglichen es ihr, Einmalpasswörter (OTPs) und Codes für die Zwei-Faktor-Authentifizierung (2FA) abzufangen.
Rokarolla kann die Kontrolle über Textnachrichten und Telefonanrufe übernehmen und so Sicherheitswarnungen blockieren sowie Anzeichen von Betrug verbergen.
Außerdem kann sie alles aufzeichnen, was Sie eingeben und auf dem Bildschirm sehen. Wenn Sie die Adresse einer Kryptowährungs-Wallet kopieren und einfügen, kann die Malware diese heimlich durch eine Adresse ersetzen, die den Angreifern gehört.
Weitere Funktionen tragen dazu bei, dass die Malware unentdeckt bleibt. Dazu gehören die Möglichkeit, ihr Symbol auszublenden, das Gerät stummzuschalten, Google Play Protect zu deaktivieren und zu verhindern, dass der Bildschirm in den Ruhemodus wechselt.
Wie es sich verbreitet
Rokarolla wird über betrügerische Websites verbreitet, auf denen es als gefälschte Versionen beliebter Apps wie TikTok oder Chrome angeboten wird.
Anstatt Sie zum offiziellen Google Play Store weiterzuleiten, veranlassen diese bösartigen Websites Sie dazu, die App direkt herunterzuladen – ein Vorgang, der als „Sideloading“ bezeichnet wird. Nach der Installation gibt sich die gefälschte App als „Google Play Protect“ aus und lädt unbemerkt die Malware herunter, die den Angriff ausführt, und installiert sie.
Um sich den erforderlichen Zugriff zu verschaffen, fordert die gefälschte App weitreichende Berechtigungen an, darunter den Zugriff auf die Barrierefreiheitsfunktionen, die Berechtigung zum Lesen von SMS-Nachrichten sowie den Zugriff auf Benachrichtigungen. Da diese Anfragen legitim erscheinen können, stimmen viele Nutzer ihnen möglicherweise zu, ohne sich der Risiken bewusst zu sein.
Wie man sicher bleibt
Um Banking-Trojaner wie Rokarolla zu vermeiden, sollten Sie einige Richtlinien beachten:
- Vertrauen Sie keinen Apps, die vorgeben, „Google Play Protect“ oder eine andere Systemkomponente zu sein. Sie sollten diese niemals manuell installieren müssen.
- Nutzen Sie auf Ihren Geräten einen aktuellen Echtzeit-Schutz vor Schadsoftware mit Webschutz.
- Laden Sie keine Apps über Sideloading herunter, die im Google Play Store erhältlich sind. Zwar kann sich Malware manchmal auch in offizielle Stores einschleichen, doch ist das Risiko anderswo wesentlich größer.
- Verweigern Sie Apps, die über Links oder von Websites heruntergeladen wurden, weitreichende Berechtigungen – insbesondere, wenn sie Zugriff auf die Barrierefreiheitsfunktionen, SMS-Berechtigungen oder die Möglichkeit zur Verwaltung von Anrufen anfordern, obwohl dies nicht ihrem angegebenen Zweck entspricht.
- Tatsächlich sollte jede Anfrage bezüglich des Zugriffs auf Barrierefreiheitsfunktionen mit Vorsicht behandelt werden. Wenn eine App, die nicht eindeutig als Barrierefreiheits-Tool erkennbar ist, einen solchen Zugriff anfordert, lehne die Anfrage ab und überlege dir noch einmal, ob du der Quelle vertraust.
- Prüfen Sie die Anmeldebildschirme von Bank- und Krypto-Apps genau. Wenn Ihnen etwas seltsam vorkommt oder Sie mehrere Anmeldeaufforderungen sehen, schließen Sie die App und starten Sie sie über das offizielle Symbol neu.
Betrüger wissen mehr über dich, als du denkst.
Malwarebytes Mobile Security Sie vor Phishing, betrügerischen SMS, bösartigen Websites und vielem mehr. Mit integriertem, KI-gestütztem Scam Guard in Echtzeit.
