Android kullanıcılarını hedef alan yeni bir bankacılık truva atı keşfedildi. Rokarolla adı verilen bu kötü amaçlı yazılım, sadece banka hesaplarını boşaltmakla kalmıyor, aynı zamanda cihazın neredeyse tam kontrolünü ele geçirerek kurbanları bankalarıyla olan iletişimden koparıyor. Mobil güvenlik firması Zimperium'un araştırma birimi zLabs tarafından detaylandırılan Rokarolla, 217 bankacılık ve kripto para uygulamasını hedef alıyor ve 137 farklı komut içeren bir araç seti kullanıyor.
Rokarolla, TikTok veya Google Chrome gibi görünen sahte siteler aracılığıyla yayılıyor. Google Play Protect kılığına giren bir dropper, ikinci aşama yükünü Android savunmalarını aşarak cihaza sızıyor. Sertifika yönetim firması Sectigo'dan Jason Soroko, 'Rokarolla truva atı, veri hırsızlığından kurbanı izole etmeye doğru bir geçişi işaret ediyor' diyerek, bu yazılımın telefonu sahibine karşı bir silaha dönüştürdüğünü belirtiyor.
Kontrolü sürdürmek için Rokarolla, kendisini cihazın varsayılan arama ve mesaj uygulaması yapıyor. Gelen aramaları engelleyebiliyor, SMS okuyup gönderebiliyor, böylece bankaların şüpheli işlemleri bildirmek için kullandığı tek kullanımlık kodları ve dolandırıcılık uyarılarını yutuyor. Ayrıca telefonun sesini ve titreşimini kapatarak uyarı seslerini gizliyor, kendi simgesini uygulama çekmecesinden saklıyor ve ekranı sürekli açık tutarak gizli faaliyetlerinin kesintisiz devam etmesini sağlıyor.
Uzmanların Görüşleri
Saldırı, Erişilebilirlik Hizmetleri'ni kötüye kullanarak ekranı okuyor ve arayüzü yönlendiriyor. Bankacılık ve kripto giriş bilgilerini sahte ekranlar aracılığıyla çalıyor, panoyu değiştirerek kripto para cüzdan adreslerini kendininkiyle değiştiriyor. Ayrıca zaman damgalı ekran görüntüleri alarak gözetim yapıyor ve Google Play Protect'i devre dışı bırakmaya çalışıyor. Cequence Security CISO'su Randolph Barr, 'Android, bankacılık truva atları ve veri sızdıran SDK'larla karşı karşıya kalmaya devam ediyor' diyerek, 2024'te milyonlarca mobil kötü amaçlı yazılım vakasının engellendiğini belirtiyor.