Исследователи из zLabs обнаружили ранее неизвестную вредоносную программу для Android, получившую название Rokarolla. Этот троян нацелен на хищение учётных данных от приложений для онлайн-банкинга и криптовалютных кошельков. Зловред распространяется через специализированные фишинговые сайты, маскируясь под популярные приложения, такие как TikTok или Google Chrome.
Описание
Rokarolla представляет собой сложную угрозу, обладающую арсеналом из 137 различных команд. Согласно недавно опубликованному отчёту, эти команды предоставляют злоумышленникам практически полный административный контроль над заражённым устройством. Среди ключевых возможностей трояна числится перехват данных с экрана блокировки, кража списка контактов и SMS-сообщений, а также использование кейлоггера для непрерывной записи нажатий клавиш и вводимого текста. Кроме того, вредоносная программа активно блокирует попытки пользователя вмешаться в её работу, скрывая свои операции и препятствуя удалению.
Процесс заражения начинается с установки дроппера - приложения, которое обманом заставляет жертву инсталлировать второй, основной компонент, содержащий код трояна. Дроппер маскируется под процесс проверки Google Play Protect. Эта уловка позволяет обойти ограничения безопасности Android и получить доступ к сервисам специальных возможностей (Accessibility Services). После получения необходимых разрешений троян запрашивает доступ к SMS-сообщениям и уведомлениям, что открывает ему путь к дальнейшим манипуляциям.
Общение заражённого устройства с командным сервером (C2) происходит по зашифрованному протоколу HTTPS. Анализ сетевого трафика показал, что вначале троян отправляет базовую телеметрию об устройстве для идентификации жертвы. На основе этих данных формируется уникальный идентификатор бота. Во время последующих сеансов связи происходит обмен командами, направленными на извлечение более детальной информации, включая список предоставленных разрешений и текущий операционный статус. Для обеспечения отказоустойчивости вредоносная программа поддерживает несколько запасных доменов и умеет динамически обновлять активный адрес C2-сервера через ответы от удалённой конфигурации.
Одним из главных инструментов кражи данных является применение подложных экранов. Так, для перехвата PIN-кода, графического ключа или пароля разблокировки устройства Rokarolla отображает поверх настоящего экрана блокировки точную имитацию. Введённая жертвой комбинация тут же перехватывается и отправляется злоумышленникам. Полученный код разблокировки позволяет атакующим выполнять команды даже на заблокированном устройстве, не вызывая подозрений у владельца.
Для скрытия фоновых операций троян накладывает множество слоёв подложных экранов, блокируя взаимодействие пользователя с интерфейсом. Например, во время установки вредоносных компонентов отображается полноэкранная имитация процесса инсталляции. Все нормальные действия с устройством в этот момент подавлены. Эта же техника используется и для непосредственного хищения учётных данных от финансовых приложений. Троян обращается к командному серверу за списком целевых приложений. Для каждого приложения в ответе содержится статус, управляющий триггером внедрения. Если статус активен, вредоносная программа загружает поддельную HTML-страницу входа. Когда жертва запускает легитимное приложение банка или криптокошелька, загруженная фальшивая форма отображается поверх настоящего интерфейса, перехватывая введённые реквизиты.
Помимо кражи учётных данных, Rokarolla способен извлекать контактную информацию из приложения WhatsApp. Для этого он использует анализ структуры активного экрана, сверяя визуальные элементы со списком знакомых терминов мессенджера. Дополнительно троян умеет выгружать все SMS-сообщения с телефона и отправлять их от имени жертвы. Это используется для перехвата одноразовых кодов подтверждения из банков. Одно из самых опасных свойств - способность блокировать входящие звонки. Таким образом, злоумышленники лишают пострадавшего возможности получить предупреждение о мошеннической транзакции от службы безопасности банка.
Для кражи данных в реальном времени троян использует кейлоггер и утилиты для извлечения текста с экрана. Всё, что вводит или просматривает пользователь, записывается. Кроме того, применяется активная манипуляция с буфером обмена. Без ведома владельца содержимое буфера прозрачно заменяется. Чаще всего это используется для подмены адреса криптовалютного кошелька при переводе средств, что напрямую ведёт к финансовой краже.
Вместо использования стандартного API MediaProjection для непрерывной трансляции экрана, этот зловред применяет альтернативный способ слежки - съёмку снимков экрана с последующим сжатием в формат PNG и отправкой на сервер вместе с точной временной меткой. Такой подход сложнее обнаружить, а после каждой передачи данных запускается процедура очистки системы, подготавливающая устройство к следующему циклу захвата.
Вредоносная программа демонстрирует высокий уровень скрытности. Она прячет свой значок из списка приложений, чтобы её было сложно найти и удалить вручную. Троян также способен отключать все звуки и вибрацию на устройстве, маскируя любые уведомления безопасности или поступающие от банка вызовы. Для сохранения своего присутствия он предотвращает автоматическую блокировку экрана и выключение подсветки, гарантируя, что его операции не прервутся из-за тайм-аута. Распространение через легитимные магазины приложений пока не зафиксировано, что говорит о целенаправленном характере кампании с упором на фишинг.
Индикаторы компрометации
Domains
- abiorime.cfd
- beralisvc.info
- blestorians.cfd
- morevoms.cfd
URLs
- https://infocontablidades.it.com/
SHA256
- 1ba364113c4cec5542d1b2c76d7c163a66bdf90bc373256d5178f880f9742960
- 1d3270a9141f8f16047799f1132633d72fd421b6c8f1878b5ef04ced6add4db8
- 1e4ed7e40608750cd0bfe96f5ed493a022b58ec54da2345336c522f7c78197af
- 1f4c70cb317ffd25adc828fbac3bb8f07739e23111f7b7905926489fe35f8973
- 2eb80e5519fc6defcec8cc30a5cf4f75ee5ec8d2435759bb77c19826f1e20efb
- 3c304a1ac73590aaf94b62711a5f2fd0cbb863dab13aef6ec1eb156f4a7bd5b9
- 3e25c28c5e93376683e841b7ad60f9383bb3bf831284a93a4aae798fc769d767
- 3fae7ede2ef9c809b54504c3d78e5111d7fad0b522c707b8f6ff21015af79251
- 43888be8debbbd74012484d4e4f9a1c70c2ff3970e0bf499c9aebba9776930a1
- 48a3db92fac1ba9c218253576e09f42faabeaf48cf80663cf32e06b0a66e983d
- 4e2cbefc6bdbfdb6e885057ce47d460e3d3355a5e97db51b22e9c5a14e14302b
- 5139253b1f30b34ab3aa888aba175866fa1f82728ab07b999c24b49b191c3f68
- 57307ee8a3cda10730eacecaf789fab6f8771f9d29397e07c31a6bd4551bba10
- 5d0c5d8da8202f512339457ae00ed2d9b9c930cefc63fa5a28a049aba4127ab7
- 62aef76c2d1897203649844b45317d9e1723819479a2b88ca4b3290ca9f4c9f0
- 696ef29f77a91aa91279c83088a07ab137d5049dc096ef862a35f9d890a552b3
- 726095e56c693977b7796dc7cead2e2a49551d77d3f442aaa28997615ba07e99
- 7aa389f25997610a96f014977eecd6d69142bdc63841e0d84976e3e621831303
- 890ecea4ebe4fea692ad36adf02abeb37c181cb7bdb6122cd52d9aaafe7d6cf3
- 8d65e4df0ad369f491698437413afd1bd55fff309860f9cdecc778c9ac062282
- 8ddbcebe1014a645855986e85b2c54ee167baf1e9a0d74179faf81a5ee6878f4
- 97e76acebea510c8641183866be4392601314b20e73c7ba8cf1f3ee2de6080fd
- 9a8ec3b21fdb4167f8fdd46f4d38b9a99ff2d3515ee70215438a1360c1474221
- a5e6763b09553691c8b42deefb725fa3b8c133a03a34cea87740b1f13d08bac3
- aec2a36e8d68b23444348a7cec2d6ec287cb8810d1e190e04743645426ababb1
- be8573971b85fda81a2fac27adb7a3a9b2cf7e1d9bdf713361a725324d378d34
- c08cd3f78c0edcced6b1a694284b6ed4a9e0422f469e07c702c4a8d1f6c186f4
- c3cfe522d2da15b033f65eb5377bf9e99be598dc4c21729e6f168dbc8f19540b
- c3e324106803df27f5b6e0d49d2daf02d4cde396af4401f1ad29d78198e370b6
- c505353a6c58a21cb7b0343202e8629bee2f121f01c21dd8e0b61b7c55b77495
- c734a665f04eb9ab17047e65940fc35bad0221d59c2fc4fd0d170f2181514034
- d6403ec82659eb62424bb1033615a8df27635080d02e438a4ee7e2334b1155f7
- d7d960ef10b08c472ad397b6fd9e9481338b2077c7c2f44d3dc2c65b19345ae0
- e134cffcbe1fa8a861fd1f9a506f10ca5ff56cd5082360ef13d204676792e8bc
- e76cbdf420540a18e2ddea02938acf3c4b4139f3511d314dca9781afe1e439bb
- ed036356fa2d3490d3ddb5ee7ae98bab80b505938f0199d9b10f12266f345896
- f0c18f045e3bb0193ef1169f5fa1abff7aa47e9a23da35cf67bbb9548a5e32c0
- f49be77b95cabd28d2dfe91786863576f6bd3f43a9d6de67a5b5851afe3aff9a
- f8cb375a4129358ad5881c29a6921fc1e5773028c0b31da83298f606118b185a
- fe41e6c1725f63582f022a17abe098e49338a78118a00ca87785b2fa0cf3dadf