Скачал TikTok, остался без зарплаты. Rokarolla обнажает цену доверия к сторонним источникам
За знакомой иконкой прячется атака, которую трудно заметить до первого списания.
Фальшивые страницы с популярными приложениями снова стали удобным инструментом для кражи денег, и новый троян Rokarolla показывает, насколько далеко злоумышленники могут зайти после одной установки на Android-устройстве.
Специалисты Zimperium сообщили о банковском трояне Rokarolla, который атакует 217 банковских и криптовалютных приложений. Вредонос распространяют через сайты, выдающие себя за страницы загрузки Google Chrome или TikTok. Во время установки приложение имитирует Google Play Protect, встроенную защиту Android, и предлагает поставить Chrome или TikTok, но в результате на устройство попадает Rokarolla.
После запуска троян запрашивает доступ к специальным возможностям Android, а также к уведомлениям, SMS и звонкам. Такой доступ помогает вредоносной программе имитировать нажатия в интерфейсе, читать данные с экрана и обходить стандартные защитные ограничения.
Затем Rokarolla передаёт на сервер управления профиль устройства, включая модель телефона, версию Android, язык системы, параметры экрана, заряд батареи, объём памяти и доступную оперативную память. По данным Zimperium, на основе этих сведений операторы кампании создают уникальный идентификатор жертвы.
Главная цель Rokarolla связана с финансовыми данными. Троян проверяет установленные приложения по списку из 217 целей и загружает подходящую фишинговую форму для найденного банка или криптосервиса. Когда жертва открывает нужное приложение, Rokarolla выводит поверх настоящего интерфейса поддельное окно входа и перехватывает логины, пароли, данные банковских карт и другую платёжную информацию.
Окна поверх настоящего интерфейса вредонос использует не только для фишинга. С их помощью Rokarolla может украсть PIN-код или графический ключ от экрана блокировки, скрывать собственную активность и показывать поддельные экраны установки, чтобы заблокировать действия пользователя. Дополнительно троян пытается отключить Google Play Protect, убрать значок приложения из меню, заглушить звук и вибрацию, а также не давать экрану погаснуть.
Специалисты Zimperium насчитали у Rokarolla 137 команд. Среди них есть кража SMS и контактов, сбор контактов WhatsApp, запись нажатий клавиш, чтение содержимого экрана, изменение буфера обмена, блокировка входящих звонков и банковских предупреждений, а также регулярные скриншоты с отправкой на сервер. Такой набор даёт операторам почти полный контроль над заражённым устройством и открывает путь к сложным схемам финансового мошенничества.
Специалисты Zimperium не нашли Rokarolla в Google Play. Для снижения риска пользователям советуют не устанавливать APK-файлы из сторонних источников, если издатель не вызывает полного доверия, и особенно внимательно относиться к запросам на доступ к специальным возможностям Android, поскольку вредоносные программы часто используют такие разрешения для управления интерфейсом и подтверждения системных действий.