Rokarolla Truva Atı: Android Cihazları Ele Geçirip Banka Hesaplarını Boşaltan Yeni Tehdit Siber Güvenlik

Rokarolla Truva Atı: Android Cihazları Ele Geçirip Banka Hesaplarını Boşaltan Yeni Tehdit

Rokarolla adlı yeni Android bankacılık truva atı, 217 banka ve kripto para uygulamasını hedef alıyor, cihazın tam kontrolünü ele geçirerek SMS ve çağr

Mobil güvenlik şirketi Zimperium'un araştırma birimi zLabs, yeni bir Android bankacılık truva atı olan Rokarolla'yı keşfetti. Bu kötü amaçlı yazılım, yalnızca banka hesaplarını boşaltmakla kalmıyor, aynı zamanda kurbanın telefonunu neredeyse tamamen ele geçirerek bankalarla iletişimini kesiyor ve dolandırıcılığı gizliyor. Komuta ve kontrol (C2) sunucularından adını alan Rokarolla, 137 komuttan oluşan bir araç setiyle 217 banka ve kripto para uygulamasını hedef alıyor.

Rokarolla, kendini TikTok veya Google Chrome olarak gizleyen sahte siteler aracılığıyla yayılıyor. Google Play Protect gibi görünen bir dropper kullanarak ikinci aşama yükünü Android savunmalarını aşıp cihaza yerleştiriyor. Sertifika yönetim firması Sectigo'nun kıdemli üyesi Jason Soroko, Rokarolla'nın veri hırsızlığından kurbanı izole etmeye doğru bir geçiş olduğunu belirterek, telefonu sahibine karşı bir silaha dönüştürdüğünü ifade ediyor.

Truva atı, cihazın arama ve mesaj varsayılan işleyicisi haline gelerek gelen aramaları engelliyor, SMS okuyup gönderebiliyor. Bu sayede bankaların şüpheli transferleri bildirmek için kullandığı tek kullanımlık kodları ve dolandırıcılık uyarılarını ele geçiriyor. Ayrıca telefonun sesini ve titreşimini kapatarak uyarı seslerini gizliyor, kendi simgesini uygulama çekmecesinden saklıyor ve ekranı sürekli açık tutarak gizli faaliyetlerinin kesintisiz devam etmesini sağlıyor.

Teknik Analiz

Rokarolla, Android'in erişilebilirlik hizmetlerini kötüye kullanarak ekranı okuyor ve arayüzü yönetiyor. Bu sayede banka ve kripto para giriş bilgileri, kilit ekranı PIN'leri, desenleri ve şifreleri, tuş vuruşları, ekran metinleri, banka tek kullanımlık kodları dahil SMS'ler ve WhatsApp kişi listeleri gibi hassas verileri topluyor. Hedef uygulama açıldığında, sahte bir giriş sayfası göstererek gerçek kimlik bilgilerini çalıyor. Ayrıca panoyu anlık olarak değiştirip kullanıcının kopyaladığı kripto para cüzdan adresini saldırganınkiyle değiştirebiliyor.

Detaylar ve Etkileri

Gözetleme amacıyla canlı ekran akışı yerine, zaman damgalı ekran görüntüleri alıp teker teker sızdırıyor. Ayrıca Google Play Protect'i devre dışı bırakmaya çalışarak kendini gizliyor. API güvenlik firması Cequence Security'nin CISO'su Randolph Barr, mobil tehditlerdeki bu artışa dikkat çekerek, yalnızca 2024'te milyonlarca mobil kötü amaçlı yazılım olayının engellendiğini belirtiyor.

Rokarolla tehdidine karşı kullanıcıların, uygulamaları yalnızca resmi mağazalardan indirmesi, erişilebilirlik hizmeti isteyen şüpheli uygulamalara izin vermemesi, banka bildirimlerini düzenli kontrol etmesi ve güvenlik yazılımlarını güncel tutması öneriliyor. Cihazda beklenmedik davranışlar fark edilirse, hemen bankayla iletişime geçilmesi ve fabrika ayarlarına sıfırlama yapılması önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: