Naukowcy przeanalizowali nowego trojana Android o nazwie Rokarolla. Potrafi on skutecznie przejąć kontrolę nad urządzeniem, wykraść dane logowania do aplikacji bankowych i kryptowalutowych z ponad 200 aplikacji oraz dyskretnie monitorować większość czynności wykonywanych przez użytkownika na telefonie.
Na zainfekowanym urządzeniu Rokarolla wykradza dane logowania do serwisów bankowych i kryptowalutowych. Wykorzystuje również fałszywe nakładki na ekran blokady, aby przechwycić kod PIN, wzór lub hasło użytkownika.
Po uruchomieniu jednej z aplikacji bankowych lub kryptowalutowych znajdujących się na liście celów Rokarolli złośliwe oprogramowanie pobiera i wyświetla fałszywą stronę logowania, która wygląda identycznie jak prawdziwa aplikacja. Wszystkie dane wpisane na tej fałszywej stronie — w tym nazwy użytkowników, hasła i numery kart — są przesyłane do cyberprzestępców.
Ponadto aplikacja Rokarolla nadużywa funkcji ułatwień dostępu Androidw celu monitorowania aktywności na całym urządzeniu. Potrafi rozpoznawać ekrany aplikacji WhatsApp, wyszukując znane etykiety, takie jak „Czat” i „Połączenia”, pobierać dane kontaktowe, odczytywać wiadomości SMS oraz wysyłać nowe. Funkcje te umożliwiają jej przechwytywanie haseł jednorazowych (OTP) oraz kodów uwierzytelniania dwuskładnikowego (2FA).
Rokarolla może przejąć kontrolę nad wiadomościami tekstowymi i połączeniami telefonicznymi, co pozwala jej blokować powiadomienia dotyczące bezpieczeństwa i ukrywać oznaki oszustwa.
Może ono również rejestrować wszystko, co wpisujesz i co widzisz na ekranie. Jeśli skopiujesz i wkleisz adres portfela kryptowalutowego, złośliwe oprogramowanie może potajemnie zastąpić go adresem należącym do atakujących.
Inne funkcje pomagają złośliwemu oprogramowaniu pozostać niewykrytym, w tym możliwość ukrycia swojej ikony, wyciszenia urządzenia, wyłączenia usługi Google Play Protect oraz zapobiegania przechodzeniu ekranu w tryb uśpienia.
Jak się rozprzestrzenia
Rokarolla jest rozpowszechniana za pośrednictwem nieuczciwych stron internetowych, gdzie jest oferowana jako fałszywe wersje popularnych aplikacji, takich jak TikTok czy Chrome.
Zamiast przekierowywać użytkownika do oficjalnego sklepu Google Play, te złośliwe strony nakłaniają do bezpośredniego pobrania aplikacji – proces ten nazywa się „sideloadingiem”. Po zainstalowaniu fałszywa aplikacja podszywa się pod Google Play Protect i potajemnie pobiera oraz instaluje złośliwe oprogramowanie, które przeprowadza atak.
Aby uzyskać niezbędny dostęp, fałszywa aplikacja prosi o przyznanie szerokich uprawnień, w tym dostępu do funkcji ułatwień dostępu, uprawnienia do odczytu wiadomości SMS oraz dostępu do powiadomień. Ponieważ prośby te mogą wydawać się uzasadnione, wielu użytkowników może je zatwierdzić, nie zdając sobie sprawy z zagrożeń.
Jak zachować bezpieczeństwo
Aby uniknąć trojanów bankowych, takich jak Rokarolla, warto przestrzegać kilku wskazówek:
- Nie ufaj aplikacjom, które podają się za Google Play Protect lub inny element systemu. Nigdy nie powinno być konieczne ręczne instalowanie takich aplikacji.
- Korzystaj na swoich urządzeniach z aktualnej ochrony przed złośliwym oprogramowaniem działającej w czasie rzeczywistym, obejmującej również ochronę w sieci .
- Nie instaluj aplikacji z innych źródeł, jeśli są one dostępne w sklepie Google Play. Chociaż złośliwe oprogramowanie może czasami przedostać się do oficjalnych sklepów, ryzyko jest znacznie większe w innych miejscach.
- Nie przyznawaj aplikacjom pobranym z linków lub stron internetowych uprawnień o szerokim zakresie, zwłaszcza jeśli proszą one o dostęp do funkcji ułatwień dostępu, uprawnień do obsługi wiadomości SMS lub możliwości obsługi połączeń telefonicznych, nawet jeśli nie jest to zgodne z ich deklarowanym przeznaczeniem.
- W rzeczywistości każde żądanie dostępu w ramach funkcji ułatwień dostępu należy traktować z ostrożnością. Jeśli aplikacja, która nie jest ewidentnie narzędziem ułatwiającym dostęp, zgłasza takie żądanie, należy je odrzucić i ponownie rozważyć, czy można ufać jej źródłu.
- Dokładnie przyjrzyj się ekranom logowania do serwisów bankowych i kryptowalutowych. Jeśli coś wydaje się podejrzane lub pojawia się wiele monitów o logowanie, zamknij aplikację i uruchom ją ponownie, klikając jej oficjalną ikonę.
Oszuści wiedzą o tobie więcej, niż ci się wydaje.
Malwarebytes Mobile Security Cię przed phishingiem, oszukańczymi wiadomościami tekstowymi, złośliwymi stronami internetowymi i nie tylko. Dzięki wbudowanej funkcji Scam Guard opartej na sztucznej inteligencji, działającej w czasie rzeczywistym.
