Yeni keşfedilen bir Android bankacılık truva atı, yalnızca hesapları boşaltmakla kalmayıp telefonun neredeyse tam kontrolünü ele geçiriyor ve mağdurları bankalarından izole ederek dolandırıcılığın fark edilmeden devam etmesini sağlıyor. Zimperium'un araştırma kolu zLabs tarafından detaylandırılan Rokarolla, komuta ve kontrol (C2) sunucularından adını alıyor. Bu kötü amaçlı yazılım, 137 komuttan oluşan bir araç setiyle 217 bankacılık ve kripto para uygulamasını hedef alıyor.
Rokarolla, TikTok veya Google Chrome gibi görünen sahte siteler aracılığıyla yayılıyor. Google Play Protect kılığına giren bir dropper kullanarak ikinci aşama yükünü Android savunmasını aşarak cihaza yerleştiriyor. Sertifika yönetim firması Sectigo'nun kıdemli üyesi Jason Soroko, "Rokarolla truva atı, veri hırsızlığından mağduru izole etmeye geçişi işaret ediyor" diyerek, telefonu sahibine karşı bir silaha dönüştürdüğünü belirtti.
Kontrolü sürdürmek için Rokarolla, kendisini cihazın varsayılan arama ve mesaj uygulaması yapıyor. Gelen aramaları engelleyebiliyor, SMS okuyup gönderebiliyor; böylece bankaların şüpheli transferleri işaretlemek için kullandığı tek kullanımlık kodları ve dolandırıcılık uyarılarını yutuyor. Ayrıca telefonun sesini ve titreşimini kapatıp uyarı tonlarını gizliyor, uygulama çekmecesinden kendi simgesini saklıyor ve ekranı sürekli açık tutarak gizli aktivitesinin kesintiye uğramamasını sağlıyor.
Hırsızlık, Android'in erişilebilirlik özelliği olan Erişilebilirlik Hizmetleri'ni (Accessibility Services) kötüye kullanarak gerçekleşiyor. Rokarolla, ekranı okuyup arayüzü yönetmek için bu özelliği kullanıyor. Mağdur hedeflenen bir uygulamayı açtığında, gerçek sayfanın üzerine sunucusundan alınan sahte bir giriş sayfası yerleştiriyor. Ayrıca panoyu anında değiştirerek mağdurun kopyaladığı kripto para cüzdan adresini saldırganınkiyle değiştirebiliyor. Gözetim için ekranı canlı yayınlamak yerine zaman damgalı ekran görüntüleri alıp tek tek sızdırıyor ve Google Play Protect'i devre dışı bırakmaya çalışarak kendini gizliyor.