Фахівці компанії Zimperium виявили новий шкідливий програмний продукт для операційної системи Android, який отримав назву Rokarolla. Цей троян розроблений для крадіжки облікових даних та іншої конфіденційної інформації з понад 200 популярних додатків, призначених для банківських операцій та роботи з криптовалютами.
Як поширюється Rokarolla
Зловмисники використовують різноманітні методи для розповсюдження Rokarolla, зокрема фальшиві вебсайти, неофіційні магазини додатків та соціальні мережі. Важливо зазначити, що цей троян не виявлений в офіційних репозиторіях, таких як Google Play Store.
Шахраї зазвичай рекламують підроблені версії популярних додатків, наприклад, Google Chrome або TikTok. Користувачі, які намагаються завантажити їх, спочатку отримують дропер, замаскований під Google Play Protect. Після цього дропер пропонує встановити версії Chrome чи TikTok, які вже містять вбудований троян Rokarolla.
Механізм дії та можливості трояна
Після встановлення Rokarolla вимагає надання розширених дозволів від користувача. Особливо небезпечним є запит на доступ до служби спеціальних можливостей (Accessibility Services), а також до SMS-повідомлень, історії дзвінків та сповіщень. Якщо користувач надає ці права, шкідлива програма починає сканувати пристрій на наявність підтримуваних банківських або криптовалютних додатків. Дослідники виявили, що вразливими є 217 різних програм.
Коли користувач відкриває один із цих додатків, Rokarolla накладає на екран невидимі оверлеї. Це дозволяє трояну перехоплювати логіни, паролі, PIN-коди та графічні ключі, які вводить користувач.
Приховування діяльності та додаткові функції
Для маскування своєї діяльності Rokarolla використовує низку методів. Він може відображати фальшиві екрани інсталяції, приховувати свою іконку в меню додатків, вимикати звук та вібрацію сповіщень, підтримувати екран пристрою активним, щоб уникнути його блокування. Крім того, троян здатен збирати контакти з пристрою, включаючи дані з WhatsApp, фіксувати натискання клавіш, записувати екран, блокувати вхідні дзвінки та робити скріншоти.
На відміну від багатьох подібних шкідливих програм, які часто орієнтовані на певні регіони або мовні налаштування, Rokarolla, за словами дослідників, не має таких обмежень. Однак, наразі невідомо, які саме країни або групи користувачів перебувають під найбільшим ризиком, і скільки осіб вже постраждали від цієї атаки.
Рекомендації щодо безпеки
Експерти наголошують, що користувачі, які завантажують програмне забезпечення виключно з офіційних джерел, таких як Google Play Store або Galaxy Store, значно знижують ризик зараження подібними троянами. Дотримання цього правила є ключовим для захисту мобільних пристроїв від шкідливих програм.
Вердикт ІТ-Блогу: Обов’язкове застереження для всіх користувачів Android, особливо тих, хто використовує додатки для банківських операцій або роботи з криптовалютами. Не завантажуйте програми з неофіційних джерел.
За даними порталу: mezha.ua