Mobil güvenlik firması Zimperium'un araştırma birimi zLabs, yeni bir Android bankacılık truva atı olan Rokarolla'yı keşfetti. Bu kötü amaçlı yazılım, 217 farklı bankacılık ve kripto para uygulamasını hedef alıyor ve 137 farklı komut içeren bir araç setiyle çalışıyor. Rokarolla, kurbanların hesaplarını boşaltmanın ötesine geçerek cihazın neredeyse tam kontrolünü ele geçiriyor ve kullanıcıları bankalarından izole ederek dolandırıcılığın fark edilmeden devam etmesini sağlıyor.
Rokarolla, TikTok veya Google Chrome gibi popüler uygulamaları taklit eden sahte siteler aracılığıyla yayılıyor. İlk aşamada, Google Play Protect kılığına girmiş bir dropper kullanarak ikinci aşama yükünü Android savunmasını aşarak cihaza yerleştiriyor. Sertifika yönetim firması Sectigo'nun kıdemli üyesi Jason Soroko, Rokarolla'nın veri hırsızlığından kurbanı izole etmeye geçiş yaptığını ve telefonu sahibine karşı bir silaha dönüştürdüğünü belirtiyor.
Kontrolü sürdürmek için Rokarolla, kendisini cihazın varsayılan arama ve mesajlaşma uygulaması yapıyor. Gelen aramaları engelleyebiliyor, SMS okuyup gönderebiliyor, böylece bankaların şüpheli işlemler için gönderdiği tek kullanımlık kodları ve dolandırıcılık uyarılarını yutuyor. Ayrıca telefonun sesini ve titreşimini kapatarak uyarı seslerini gizliyor, kendi simgesini uygulama çekmecesinden saklıyor ve ekranın sürekli açık kalmasını sağlayarak gizli faaliyetlerinin kesintiye uğramasını engelliyor.
Rokarolla, Erişilebilirlik Hizmetleri'ni (Accessibility Services) kötüye kullanarak ekranı okuyor ve arayüzü yönetiyor. Banka ve kripto para giriş bilgilerini, kilit ekranı PIN'lerini, tuş vuruşlarını ve ekran metinlerini çalıyor. Ayrıca WhatsApp kişilerini topluyor. Hedef uygulama açıldığında, gerçek giriş sayfasının üzerine sahte bir sayfa yerleştiriyor. Panoyu anlık olarak değiştirip kurbanın kopyaladığı kripto para cüzdan adresini saldırganınkiyle değiştirebiliyor. Zimperium, bu kampanyanın artan mobil tehditlerle aynı döneme denk geldiğini ve 2024'te yalnızca on milyonlarca mobil kötü amaçlı yazılım olayının engellendiğini belirtiyor.