Mobil güvenlik firması Zimperium’un araştırma kolu zLabs, yeni bir Android bankacılık truva atı keşfetti. 'Rokarolla' adı verilen bu kötü amaçlı yazılım, sadece banka hesaplarını boşaltmakla kalmıyor, aynı zamanda telefonun neredeyse tam kontrolünü ele geçirerek kurbanları bankalarından izole ediyor. Böylece dolandırıcılık faaliyetleri fark edilmeden devam edebiliyor. 217 banka ve kripto para uygulamasını hedef alan Rokarolla, 137 farklı komut içeren bir araç seti kullanıyor.
Rokarolla, kendini TikTok veya Google Chrome gibi popüler uygulamalar olarak gizleyen sahte siteler aracılığıyla yayılıyor. Google Play Protect kılığına giren bir dropper sayesinde Android savunmasını aşarak ikinci aşama yükü cihaza indiriyor. Kurulumdan sonra, telefonun arama ve mesaj varsayılan işleyicisi haline geliyor. Gelen aramaları engelleyebiliyor, SMS okuyup gönderebiliyor, böylece bankaların şüpheli işlemler için gönderdiği tek kullanımlık kodları ve dolandırıcılık uyarılarını ele geçiriyor.
Saldırgan, Accessibility Services (Erişilebilirlik Hizmetleri) özelliğini kötüye kullanarak ekranı okuyor ve arayüzü kontrol ediyor. Hedef uygulama açıldığında, gerçek giriş sayfasının üzerine sahte bir giriş ekranı yerleştiriyor. Bu sayede bankacılık ve kripto para giriş bilgilerini, ekran kilidi PIN'lerini, şifreleri ve hatta WhatsApp kişilerini çalıyor. Ayrıca panoya kopyalanan kripto para cüzdan adresini değiştirerek, kurbanın kendi adresi yerine saldırganın cüzdan adresini yapıştırabiliyor.
Rokarolla, canlı ekran akışı yerine zaman damgalı ekran görüntüleri alarak bunları teker teker sızdırıyor. Telefonun sesini ve titreşimini kapatarak uyarıları gizliyor, kendi simgesini uygulama çekmecesinden saklıyor ve ekranın sürekli açık kalmasını sağlayarak gizli faaliyetlerinin kesintiye uğramasını engelliyor. Cequence Security CISO'su Randolph Barr, Android'in bankacılık truva atları ve veri sızdıran SDK'larla karşı karşıya olduğunu belirtirken, 2024'te milyonlarca mobil kötü amaçlı yazılım olayının engellendiğini vurguluyor.