изображение: grok
Аналитики компании Zimperium зафиксировали распространение нового банковского трояна для Android, получившего имя Rokarolla. Зловред атакует клиентов 217 банковских и криптовалютных сервисов, управляется через 130 с лишним удалённых команд и умеет подменять адреса криптокошельков прямо в буфере обмена.
Заражение начинается с фейковых сайтов, имитирующих официальные страницы TikTok, Google Chrome и других популярных программ. Жертва скачивает якобы свежую версию приложения, а на устройство ставится загрузчик, маскирующийся под Google Play Protect. Через интерфейс этого псевдо-Protect пользователь выдаёт доступ к специальным возможностям Android, после чего троян ставит основную полезную нагрузку и отключает настоящий защитный механизм Google.
Кража учётных данных строится на технологии оверлеев. Сервер злоумышленников передаёт зловреду перечень программ-мишеней и шаблоны фейковых окон авторизации. Стоит жертве запустить мобильный банк или криптокошелёк, поверх него мгновенно отрисовывается поддельный экран входа, визуально неотличимый от оригинального. Введённые логины, пароли, реквизиты карт и сид-фразы уходят на командный сервер.
Стоит обратить внимание, что Rokarolla добывает доступ к устройству даже после блокировки. Для этого зловред показывает фальшивый экран блокировки Android и собирает PIN-коды, графические ключи и текстовые пароли.
Параллельный канал атаки построен вокруг работы с SMS и звонками. Получив права приложения по умолчанию для сообщений и вызовов, троян читает входящие SMS, перехватывает одноразовые SMS-коды банков, рассылает сообщения от имени владельца и блокирует звонки. Под блокировку попадают и предупреждения службы безопасности банка о подозрительных операциях по счёту.
Набор шпионских функций у Rokarolla закрывает почти весь спектр задач удалённого контроля:
- регистрация нажатий клавиш и сбор введённого текста;
- последовательные снимки экрана через специальные возможности без уведомления пользователя;
- выгрузка контактов и чтение системных уведомлений;
- сбор данных об активных приложениях и характеристиках устройства;
- запуск произвольных команд от оператора ботнета.
Запись экрана организована нестандартно. Штатный API Android для захвата изображения всегда показывает значок в строке состояния, поэтому авторы зловреда от него отказались. Вместо записи Rokarolla делает серию скриншотов через службу специальных возможностей, сжимает их и отправляет на сервер, что даёт операторам почти живую трансляцию действий жертвы.
Отдельный модуль занимается криптовалютой. Зловред следит за буфером обмена и автоматически распознаёт строки, похожие на адреса кошельков Bitcoin, Ethereum, TRON и других сетей. При попытке вставить адрес для перевода средств содержимое подменяется на кошелёк злоумышленников, и транзакция уходит чужому получателю. Операция занимает доли секунды, заметить подмену без побайтовой сверки адреса почти невозможно.
Уточняется, что инфраструктура Rokarolla построена с запасом устойчивости. Зловред хранит несколько резервных C2-серверов и умеет динамически получать новые адреса, что затрудняет блокировку командной сети.
По количеству поддерживаемых команд новый троян обгоняет многие нашумевшие семейства зловредов для Android, при этом базовый набор приёмов остаётся традиционным:
- маскировка под легитимные приложения и обновления;
- злоупотребление службой специальных возможностей Android;
- фишинговые оверлеи поверх банковских и криптоприложений;
- перехват SMS с одноразовыми кодами банков;
- подмена адресов криптокошельков в буфере обмена.
Базовые рекомендации экспертов сводятся к нескольким простым правилам поведения с мобильным устройством:
- ставить приложения строго из официального магазина Google Play;
- не отключать Google Play Protect и обращать внимание на его предупреждения;
- отказывать программам в доступе к специальным возможностям без явной необходимости;
- сверять адрес кошелька после вставки из буфера обмена хотя бы по первым и последним символам адреса;
- проверять права приложений по умолчанию для SMS и вызовов в системных настройках.
Ранее мы писали о том, что владельцев Android-устройств предупредили о распространении трояна Drama RAT, который распространяется через мессенджеры, электронную почту и SMS-сообщения. Вредоносная программа маскируется под бесплатные версии популярных приложений и сервисов с открытым доступом к платным функциям. После установки троян получает широкий контроль над устройством, похищает данные пользователя, перехватывает информацию и в отдельных случаях способен полностью заблокировать работу смартфона.
Эксперты редакции CISOCLUB заявили по этому поводу, что появление Rokarolla фиксирует разворот мобильных угроз в сторону криптовалют, а не классических банковских счетов. Подмена адреса кошелька в буфере обмена долго оставалась нишевым приёмом, теперь она встроена в массовый зловред с широкой географией атак. Защита служб специальных возможностей Android давно требует пересмотра со стороны Google, и каждый новый троян лишь подтверждает этот тезис. Российским пользователям ситуация близка вдвойне, потому что мобильный банкинг и P2P-операции с криптой остаются для многих базовым финансовым инструментом. Без жёсткой дисциплины при установке программ и работы с разрешениями риск потерять и фиатные средства, и крипту растёт у каждого владельца Android-смартфона.
Оригинал публикации на сайте CISOCLUB: "Новый вирус Rokarolla для Android крадет PIN-коды, SMS-коды и средства криптокошельков".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.