Исследователи провели анализ нового Android трояна Android под названием Rokarolla. Он способен полностью взять под контроль устройство, похищать учетные данные для доступа к банковским и криптовалютным приложениям из более чем 200 приложений, а также незаметно отслеживать большую часть ваших действий на телефоне.
На заражённом устройстве Rokarolla похищает учетные данные для доступа к банковским и криптовалютным сервисам. Кроме того, она использует поддельные наложения на экран блокировки, чтобы перехватить ваш PIN-код, графический ключ или пароль.
При открытии одного из банковских или криптовалютных приложений, включенных в список целей Rokarolla, вредоносное ПО загружается и отображает поддельную страницу входа, имитирующую настоящее приложение. Вся информация, введенная на этой поддельной странице, включая имена пользователей, пароли и номера карт, отправляется злоумышленникам.
Кроме того, Rokarolla злоупотребляет функциями доступности Androidдля отслеживания активности на устройстве. Она может распознавать экраны WhatsApp, ища знакомые надписи, такие как «Чаты» и «Звонки», извлекать контактную информацию, считывать SMS-сообщения и отправлять новые. Эти возможности позволяют ей перехватывать одноразовые пароли (OTP) и коды двухфакторной аутентификации (2FA).
Rokarolla может взять под свой контроль текстовые сообщения и телефонные звонки, что позволяет ей блокировать оповещения о безопасности и скрывать признаки мошенничества.
Кроме того, оно может записывать всё, что вы вводите с клавиатуры и видите на экране. Если вы скопируете и вставите адрес криптовалютного кошелька, вредоносная программа может незаметно заменить его на адрес, принадлежащий злоумышленникам.
Другие функции помогают вредоносному ПО оставаться незамеченным, в том числе возможность скрыть свой значок, отключить звук на устройстве, отключить Google Play Protect и предотвратить переход экрана в спящий режим.
Как он распространяется
Rokarolla распространяется через вредоносные сайты, где она предлагается в виде поддельных версий популярных приложений, таких как TikTok или Chrome.
Вместо того чтобы перенаправить вас в официальный магазин Google Play, эти вредоносные сайты побуждают вас загрузить приложение напрямую — этот процесс называется «сайдлоадингом». После установки поддельное приложение маскируется под Google Play Protect и незаметно загружает и устанавливает вредоносное ПО, которое и осуществляет атаку.
Чтобы получить необходимый доступ, поддельное приложение запрашивает расширенные разрешения, в том числе доступ к функциям доступности, разрешение на чтение SMS-сообщений и доступ к уведомлениям. Поскольку эти запросы могут выглядеть вполне законными, многие пользователи могут их одобрить, не осознавая связанных с этим рисков.
Как оставаться в безопасности
Чтобы избежать заражения банковскими троянами, такими как Rokarolla, следует соблюдать несколько рекомендаций:
- Не доверяйте приложениям, которые выдают себя за Google Play Protect или другой системный компонент. Устанавливать их вручную не требуется.
- Обеспечьте на своих устройствах актуальную защиту от вредоносных программ в режиме реального времени с функцией веб -защиты.
- Не устанавливайте из сторонних источников приложения, доступные в Google Play Store. Хотя вредоносное ПО иногда может проникать и в официальные магазины, риск в других местах гораздо выше.
- Не предоставляйте приложениям, загруженным по ссылкам или с веб-сайтов, расширенные права доступа, особенно если они запрашивают доступ к функциям доступности, права на работу с SMS или возможность управлять вызовами, даже если это не соответствует их заявленному назначению.
- На самом деле к любому запросу на доступ к функциям доступности следует относиться с осторожностью. Если приложение, которое явно не является средством обеспечения доступности, запрашивает такой доступ, отклоните запрос и еще раз подумайте, можно ли доверять этому источнику.
- Внимательно изучайте экраны входа в банковские и криптовалютные приложения. Если что-то выглядит подозрительно или вы видите несколько запросов на вход, закройте приложение и запустите его заново, нажав на официальный значок.
Мошенники знают о вас больше, чем вы думаете.
Malwarebytes Mobile Security вас от фишинга, мошеннических SMS-сообщений, вредоносных сайтов и многого другого. Благодаря встроенной функции Scam Guard, работающей на базе искусственного интеллекта в режиме реального времени.
