.jpg)
Trojan perbankan Android baru bernama Rokarolla menargetkan 217 aplikasi perbankan dan mata uang kripto menggunakan 137 perintah yang ekstensif.
Malware ini didistribusikan melalui situs web jahat yang mengaku menyediakan aplikasi Google Chrome atau TikTok, dan dapat mengambil kendali administratif penuh atas perangkat yang disusupi.
Kemampuannya termasuk mencuri kredensial layar kunci, daftar kontak, dan data SMS, serta menggunakan keylogger untuk terus merekam masukan pengguna.
Selama proses instalasi, aplikasi jahat tersebut bertindak sebagai dropper dan meniru Google Play Protect, sistem anti-malware bawaan Android, yang menawarkan kepada pengguna opsi untuk menginstal Chrome atau TikTok, yang menyertakan malware Rokarolla.
Saat diluncurkan di perangkat, Rokarolla meminta izin layanan Aksesibilitas, serta akses ke notifikasi, SMS, dan panggilan, ungkap peneliti di perusahaan keamanan seluler Zimperium dalam sebuah laporan hari ini.
Sumber: Zimperium
Komunikasi dengan server perintah dan kontrol (C2) dimulai dengan mengirimkan profil perangkat dasar yang berisi detail seperti model ponsel, versi Android yang diinstal, lokal, karakteristik tampilan, level baterai, kapasitas penyimpanan, dan RAM yang tersedia.
Menurut Zimperium, informasi ini digunakan untuk menghasilkan pengidentifikasi unik untuk setiap korban dalam kampanye Rokarolla.
Zimperium mengatakan tujuan utama malware ini tampaknya adalah pencurian informasi keuangan. Untuk mencapai hal ini, ia memeriksa perangkat yang terinfeksi terhadap daftar 217 aplikasi yang ditargetkan dan kemudian mengunduh muatan phishing yang sesuai dengan aplikasi yang cocok.
Saat korban membuka aplikasi dalam daftar, Rokarolla menampilkan overlay login palsu untuk mencuri kredensial login, informasi kartu kredit, dan data keuangan lainnya.
Sumber: Zimperium
Namun, penggunaan overlay tidak hanya mencakup pencurian data. Malware juga mengandalkan metode ini untuk menangkap PIN/pola layar kunci dan mengoperasikan perangkat bahkan ketika perangkat terkunci.
Selain itu, overlay digunakan untuk menyembunyikan aktivitas malware dan memblokir interaksi pengguna dengan menampilkan layar instalasi palsu bila diperlukan.
Sumber: Zimperium
Taktik penghindaran tambahan termasuk menonaktifkan Google Play Protect, menyembunyikan ikon aplikasi dari laci aplikasi, membungkam audio dan getaran, dan menjaga layar tetap aktif tanpa batas.
Zimperium menciptakan a Repositori GitHub dengan 137 perintah tersedia untuk Rokarolla. Beberapa perintah pencurian data meliputi:
- Mencuri pesan SMS
- Ekstrak informasi kontak dan kontak WhatsApp
- Tangkap penekanan tombol
- Rekam konten di layar melalui logging UI
- Salin dan manipulasi konten clipboard
- Blokir panggilan masuk dan peringatan penipuan bank
- Ambil tangkapan layar secara berkala dan unggah dengan stempel waktu
Kombinasi dari kemampuan ini memberikan operator Rokarolla kendali administratif yang hampir lengkap atas perangkat Android yang terinfeksi, sehingga memungkinkan mereka melakukan penipuan finansial tingkat lanjut.
Zimperium tidak menemukan malware tersebut di Google Play, gudang resmi untuk aplikasi Android. Pengguna disarankan untuk menghindari mengunduh file APK di luar Google Play kecuali mereka secara eksplisit mempercayai penerbitnya.
Selain itu, pengguna harus berhati-hati saat memberikan izin Aksesibilitas, karena izin tersebut dapat disalahgunakan untuk melewati perlindungan keamanan Android standar dan mendapatkan kemampuan yang lebih tinggi untuk berinteraksi dengan antarmuka pengguna atau menyetujui perintah sistem, tindakan yang sering dicari oleh malware Android.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
