Yeni keşfedilen bir Android bankacılık truva atının, hesapları boşaltmanın ötesine geçtiği, bir telefonun neredeyse tamamen kontrolünü ele geçirdiği ve dolandırıcılığın fark edilmeden çalışabilmesi için kurbanların bankalarıyla olan bağlantısını kestiği gözlemlendi.
Komuta ve kontrol (C2) sunucularından dolayı Rokarolla adını alan kötü amaçlı yazılım, mobil güvenlik firması Zimperium'un araştırma kolu olan zLabs tarafından ayrıntılı olarak incelendi ve 137 komuttan oluşan bir araç seti aracılığıyla 217 bankacılık ve kripto para uygulamasını hedef aldığı tespit edildi.
İkinci aşama bir yükü Android'in savunmasını aşıp cihaza aktarmak için Google Play Koruma gibi görünen bir damlalık kullanarak, TikTok veya Google Chrome gibi görünen kötü amaçlı siteler aracılığıyla yayılıyor.
Rokarolla'nın telefonu sahibine karşı bir silaha dönüştürdüğünü anlatan sertifika yönetimi firması Sectigo'nun kıdemli üyesi Jason Soroko, "Rokarolla truva atı, veri hırsızlığından kurbanların izolasyonuna geçişe işaret ediyor" dedi.
Devamını oku: Android Kötü Amaçlı Yazılım Discord Kanalları Aracılığıyla Bankacılık Kullanıcılarını Hedefliyor
Sonuç ve Değerlendirme
Bu kontrolü korumak için Rokarolla, aramalar ve mesajlar için kendisini cihazın varsayılan işleyicisi haline getiriyor. Gelen aramaları engelleyebilir ve SMS mesajlarını okuyabilir veya gönderebilir, böylece bir bankanın normalde şüpheli bir transferi işaretlemek için kullanacağı tek seferlik kodları ve dolandırıcılık uyarılarını yutmasına izin verebilir.
Ayrıca, uyarı tonlarını gizlemek için telefonun sesini ve titreşimini de kapatır, uygulama çekmecesinde kendi simgesini gizler ve gizli etkinliğin hiçbir zaman kesintiye uğramaması için ekranı uyanık kalmaya zorlar.
Gelecekte Ne Bekleniyor?
Sahte Ekranlar ve Çalınan Girişler
Hırsızlık, Rokarolla'nın ekranı okumak ve arayüzü çalıştırmak için kötüye kullandığı, yardımcı uygulamalara yönelik Android özelliği olan Erişilebilirlik Hizmetlerine dayanıyor. Oradan hasat edilir:
Sahte ekranlar tarafından yakalanan bankacılık ve kripto oturum açma bilgileri
Kilit ekranı PIN'leri, desenleri ve şifreleri
Nasıl Önlem Alınmalı?
Tuş vuruşları ve ekran metni
Bankanın tek seferlik kodları dahil SMS mesajları
Uzmanların Görüşleri
WhatsApp kişileri ekrandan kazındı
Bir kurban hedeflenen bir uygulamayı açtığında, kötü amaçlı yazılım, kendi sunucusundan alınan ikna edici bir sahte giriş sayfasını gerçek sayfanın üzerine bırakır.
Önemli Gelişmeler
Ayrıca, kurban kendisininkini kopyaladığında saldırganın kripto para birimi cüzdan adresini değiştirerek panoyu anında yeniden yazabilir.
Rokarolla, gözetleme amacıyla ekranı canlı yayınlamak yerine sessizce zaman damgalı ekran görüntülerini alıyor ve bunları birer birer dışarı sızdırıyor. Ayrıca kendisini gizli tutmak için Google Play Korumayı devre dışı bırakmaya çalışır.
Detaylar ve Etkileri
Kampanya, mobil tehditlerde önemli bir artışla aynı zamana denk geliyor. API güvenlik firması Cequence Security'nin CISO'su Randolph Barr, yalnızca 2024'te engellenen on milyonlarca mobil kötü amaçlı yazılım olayına atıfta bulunarak "Android, bankacılık truva atları ve veri sızdıran SDK'larla karşı karşıya kalmaya devam ediyor" dedi.