بدافزار اندرویدی Rokarolla رمزهای قفل صفحه، کدهای پیامکی و دارایی‌های کیف پول رمزارزی را سرقت می‌کند

طبق گزارش پژوهشگران امنیتی شرکت Zimperium، بدافزار اندرویدی Rokarolla به‌عنوان یک تروجان بانکی پیشرفته در حال هدف قرار دادن بیش از 217 اپلیکیشن بانکی و کیف پول رمزارزی است. این بدافزار با بهره‌گیری از مجموعه‌ای از تکنیک‌های پیچیده از جمله پوشش‌های جعلی فیشینگ (Phishing Overlays)، سوءاستفاده از سرویس دسترس‌پذیری (Accessibility Service) و کنترل گسترده دستگاه، قادر است طیف وسیعی از داده‌های حساس کاربران از جمله رمز قفل صفحه، کدهای پیامکی بانکی و همچنین اطلاعات مربوط به تراکنش‌ها و پرداخت‌های رمزارزی را سرقت کرده و درنهایت سامانه محافظت گوگل پلی (Google Play Protect) را غیرفعال کند.

بررسی‌های فنی نشان می‌دهد بدافزار اندرویدی Rokarolla از 137 فرمان کنترل از راه دور پشتیبانی می‌کند؛ قابلیتی که به مهاجمان امکان می‌دهد کنترل کامل دستگاه آلوده را در اختیار داشته باشند.

انتشار بدافزار اندرویدی Rokarolla از طریق وب‌سایت‌های جعلی

بدافزار اندرویدی Rokarolla از طریق وب‌سایت‌های مخرب منتشر می‌شود؛ وب‌سایت‌هایی که به منظور فریب کاربر خود را به‌عنوان اپلیکیشن‌های محبوب و معتبر مانند تیک‌تاک و گوگل کروم جا می‌زنند.

در این سناریوی حمله، زنجیره آلودگی با نصب یک دراپر (Dropper) آغاز می‌شود؛ کامپوننتی که خود را به‌جای سامانه محافظت گوگل پلی جا می‌زند و نقش مرحله اولیه اجرای حمله را بر عهده دارد. این بخش جعلی به‌صورت زیر عمل می‌کند:

• نصب پیلود اصلی بدافزار روی دستگاه
• دریافت و فعال‌سازی دسترسی سرویس دسترس‌پذیری از کاربر

پس از تکمیل این مراحل، بدافزار فعال می‌شود و ارتباط خود را با سرور فرماندهی و کنترل (C2) برقرار می‌کند. در ادامه، یکی از دستورات این سرور به‌سرعت اجرا شده و در نهایت به منظور دور زدن لایه‌های امنیتی اندروید، سامانه محافظت گوگل پلی غیرفعال می‌شود.

سرقت اطلاعات بانکی با تکنیک پوشش‌های جعلی فیشینگ

سرقت اطلاعات در بدافزار اندرویدی Rokarolla از طریق تکنیک پوشش‌های جعلی (Overlays) انجام می‌شود. این بدافزار ابتدا فهرستی از اهداف را از سرورخود دریافت می‌کند. سپس برای هر اپلیکیشن تعیین‌شده، یک صفحه ورود جعلی مبتنی بر HTML دانلود کرده و آن را در پایگاه داده لوکال دستگاه ذخیره می‌کند.

زمانی که کاربر اپلیکیشن واقعی بانکی یا کیف پول رمزارزی را باز می‌کند، بدافزار همان لحظه صفحه جعلی را به‌صورت یک لایه روی رابط اصلی قرار می‌دهد و کاربر بدون اطلاع، اطلاعات خود را در یک محیط کاملاً جعلی وارد می‌کند.

در نتیجه، تمام داده‌های واردشده توسط کاربر به‌صورت مستقیم سرقت می‌شود، از جمله:

• نام کاربری و رمز عبور
• اطلاعات کارت بانکی
• سایر داده‌های حساس احراز هویت

نمونه‌های بررسی‌شده در گزارش Zimperium نشان می‌دهد یکی از این صفحات جعلی، رابط ورود اپلیکیشن بانکی imagin را به‌طور کامل شبیه‌سازی کرده و از نظر ظاهری تقریباً از نسخه اصلی قابل تشخیص نیست.

همچنین، یکی دیگر از قابلیت‌های خطرناک این بدافزار استفاده از یک پوشش جعلی جداگانه برای تقلید از صفحه قفل اندروید است. این بخش به‌صورت مستقیم برای سرقت اطلاعات امنیتی دستگاه استفاده می‌شود و می‌تواند موارد زیر را ثبت کند:

• رمز قفل صفحه (PIN)
• الگوی قفل (Pattern)
• رمز عبور دستگاه (Password)

در نتیجه، مهاجم حتی در زمانی که گوشی قفل است نیز می‌تواند به اطلاعات حساس دسترسی داشته باشد و عملاً کنترل دستگاه را در اختیار بگیرد.

دسترسی به پیامک‌ها و دور زدن احراز هویت پیامکی

این تروجان بانکی تمام پیامک‌های دریافتی روی دستگاه را خوانده و همچنین قابلیت ارسال پیامک را در اختیار دارد. این توانایی برای سرقت کدهای یک‌بارمصرف پیامکی (OTP) که بانک‌ها جهت تأیید ورود یا انجام تراکنش‌ها استفاده می‌کنند، نقش کلیدی و حیاتی دارد.

علاوه بر این، بدافزار اندرویدی Rokarolla می‌تواند خود را به‌عنوان اپلیکیشن پیش‌فرض پیام‌رسانی و تماس در سیستم ثبت کند. در این حالت:

• تماس‌های ورودی، از جمله تماس‌های هشداردهنده بانک یا سرویس‌های امنیتی، می‌توانند رهگیری یا مسدود شوند.

پیامک‌های امنیتی و کدهای احراز هویت پیامکی نیز توسط بدافزار دریافت شده و در اختیار مهاجم قرار می‌گیرند.