Yeni keşfedilen bir Android bankacılık truva atı, hesapları boşaltmanın ötesine geçerek telefonun neredeyse tam kontrolünü ele geçiriyor ve kurbanları bankalarından kopararak dolandırıcılığın fark edilmeden devam etmesini sağlıyor. Zimperium'un araştırma kolu zLabs tarafından detaylandırılan Rokarolla, komuta ve kontrol (C2) sunucularının adını taşıyor. Kötü amaçlı yazılım, 137 komuttan oluşan bir araç setiyle 217 bankacılık ve kripto para uygulamasını hedef alıyor.
Rokarolla, TikTok veya Google Chrome gibi görünen sahte siteler aracılığıyla yayılıyor. Google Play Protect kılığına giren bir dropper kullanarak ikinci aşama yükünü Android savunmalarını aşıp cihaza sızıyor. Sertifika yönetim firması Sectigo'nun kıdemli üyesi Jason Soroko, 'Rokarolla truva atı, veri hırsızlığından kurbanı izole etmeye doğru bir geçişi işaret ediyor' dedi ve yazılımın telefonu sahibine karşı bir silaha dönüştürdüğünü belirtti.
Kontrolü sürdürmek için Rokarolla, kendisini cihazın varsayılan arama ve mesaj işleyicisi yapıyor. Gelen aramaları engelleyebiliyor, SMS okuyup gönderebiliyor, böylece bankaların şüpheli transferleri işaretlemek için kullandığı tek kullanımlık kodları ve dolandırıcılık uyarılarını yutuyor. Ayrıca telefonun sesini ve titreşimini kapatarak uyarı tonlarını gizliyor, kendi simgesini uygulama çekmecesinden saklıyor ve ekranı sürekli açık tutarak gizli faaliyetlerinin kesintiye uğramamasını sağlıyor.
Hırsızlık, Android'in erişilebilirlik özelliği olan Erişilebilirlik Hizmetleri'ni kötüye kullanarak ekranı okumak ve arayüzü yönetmek üzerine kurulu. Rokarolla, sahte ekran görüntüleriyle banka ve kripto giriş bilgilerini, kilit ekranı PIN'lerini, tuş vuruşlarını, SMS'leri ve WhatsApp kişilerini topluyor. Hedef uygulama açıldığında, gerçek sayfanın üzerine sunucusundan getirilen ikna edici bir sahte giriş sayfası yerleştiriyor. Ayrıca panoyu anında değiştirerek kurbanın kopyaladığı cüzdan adresini saldırganınkiyle değiştirebiliyor. Gözetim için ekranı canlı yayınlamak yerine, zaman damgalı ekran görüntüleri alıp tek tek dışarı sızdırıyor ve Google Play Protect'i devre dışı bırakmaya çalışıyor.