Новая угроза Rokarolla, сложный троян для Android, нацелен на 217 приложений финансовых учреждений

Новый тип вредоносного ПО под названием Rokarolla представляет значительную угрозу безопасности Android-устройств. Эксперты по кибербезопасности обнаружили сложное цифровое наступление, в ходе которого используется шпионаж, кража данных для входа и удаленное управление устройствами с целью получения доступа к банковским данным, картам и криптовалютным кошелькам.

Беспокойство вокруг Rokarolla связано с его масштабами, способными поставить под угрозу 217 приложений, связанных с финансовым сектором, и его высокоразвитой инфраструктурой. По данным анализа исследователей, этот банковский троян использует 137 различных команд — от сбора данных со смартфона до полного доминирования над зараженным устройством.

Опасность усиливается тем, как Рокаролла маскируется перед своими жертвами. Вместо того, чтобы выглядеть как подозрительное приложение, оно принимает на себя идентичность популярных программ и платформ, таких как Google Play Protect, браузер Chrome и TikTok, что повышает вероятность обмана менее бдительных пользователей.

Узнайте, как вредоносное ПО Rokarolla проникает в устройства Android и доминирует над ними

Цикл заражения начинается за пределами официального магазина Android. Мошенники распространяют троян Rokarolla через мошеннические веб-страницы, методы социальной инженерии и порталы, имитирующие подлинные обновления программного обеспечения или программного обеспечения.

Когда пользователь посещает эти сайты, его убеждают загрузить поврежденный APK-файл. Этот файл выступает в роли «дроппера», предварительного установщика, устанавливающего условия для внедрения основного вредоносного кода.

После установки приложение выполняет последовательность исследований, чтобы распознать характеристики устройства и убедиться в эффективности заражения.

Угроза безопасности: как Rokarolla использует службы доступности

Среди наиболее рискованных тактик, применяемых Rokarolla, — неправомерное использование специальных возможностей, присутствующих в системе Android.

Хотя эти функции разработаны для поддержки людей с ограниченными возможностями зрения, слуха или моторики, при использовании в приложениях со злыми намерениями они предоставляют практически полный контроль над устройством.

Как только жертву обманом заставляют предоставить эту авторизацию, троянец получает возможность выполнять несколько действий, в том числе:

• Прочтите содержимое, которое появляется на экране устройства.
• Имитируйте взаимодействия, такие как прикосновения и жесты.
• Автоматически работать в других приложениях.
• Регистрируйте и захватывайте SMS-сообщения.
• Перехват и просмотр уведомлений.
• Предоставление разрешений без согласия владельца.
• Выполнять административные операции высокого уровня.

На практике это разрешение позволяет злоумышленникам незаметно манипулировать различными функциями смартфона, незаметно для пользователя.

Сбор данных: Rokarolla отображает информацию о пользователях для целевых атак

После получения необходимых разрешений Рокаролла переходит к этапу сбора данных с устройства.

Вредоносное программное обеспечение объединяет несколько технических характеристик, таких как:

• Объем доступной оперативной памяти.
• Общая емкость внутренней памяти.
• Текущий уровень заряда батареи.
• Установленная версия системы Android.
• Конкретная модель мобильного устройства.
• Список установленных приложений.

Эта информация передается на сервер управления и контроля (C2) — систему киберпреступников, используемую для удаленного управления зараженными устройствами.

Вооружившись этими данными, злоумышленники могут персонализировать атаки для каждого человека, повышая эффективность всей операции.

Наложенные атаки: Rokarolla имитирует экраны для кражи банковских данных и учетных данных

Основная тактика банковского трояна Rokarolla заключается в реализации наложения экранов, известного как «атаки наложения».

Вредоносная программа постоянно отслеживает, к каким приложениям осуществляется доступ на устройстве. Когда он обнаруживает открытие одного из 217 финансовых приложений, находящихся в его поле зрения, он проецирует обманчивый интерфейс на реальный экран.

Для пользователя визуальный опыт остается идентичным оригиналу.

Подделанная страница повторяет логотипы, цветовые схемы и графические компоненты подлинного приложения. Когда пользователь вводит свое имя пользователя, пароль, коды безопасности или любые финансовые данные, вся информация немедленно передается киберпреступникам.

Помимо банковских реквизитов, Rokarolla также стремится собрать:

Leia Também

Последние Новости (RU) • 28/06/2026

Месси забил 19 голов на чемпионатах мира по футболу благодаря великолепному штрафному удару для Аргентины в матче с Иорданией

Последние Новости (RU) • 28/06/2026

Криштиану Роналду блистает за пределами футбольного поля на чемпионате мира 2026 года благодаря своей бизнес-империи и семейной роскоши.

Последние Новости (RU) • 28/06/2026

В 41 год Криштиану Роналду подтверждает свое историческое наследие и готовится блеснуть на чемпионате мира 2026 года.

• Данные кредитной карты.
• Содержимое цифровых кошельков.
• Доступ к информации на платформах обмена криптовалют.
• Токены проверки личности.
• Сообщения и коды, полученные по SMS.

Исследователи также обнаружили функции «кейлоггера» — инструмента, способного записывать каждый символ, набираемый на устройстве.

Еще одно тревожное действие — попытка перехватить PIN-код разблокировки устройства. С помощью этих данных преступники могут еще больше расширить свой контроль над пользователем и существенно усложнить любую попытку восстановить учетные записи.

Тактика сокрытия: троян Rokarolla пытается отключить защиту и оставаться активным

Следуя образцу недавних цифровых угроз, Rokarolla была спроектирована так, чтобы действовать в течение длительного времени, избегая обнаружения.

Для достижения этой цели он использует различные стратегии уклонения.

Среди наиболее опасных — намерение отключить Google Play Protect, главную систему защиты Android от потенциально вредоносных приложений.

Кроме того, вредоносное ПО способно:

• Удалите собственный значок из панели приложений.
• Маскируйте необычное поведение пользователя.
• Прекратите входящие телефонные звонки.
• Измените или отключите уведомления безопасности.
• Блокируйте предупреждения банка о мошеннической деятельности.
• Создайте препятствия для удаления программного обеспечения.

Подобные методы значительно продлевают период активности угрозы внутри взломанного устройства.

Наличие 137 команд, которые операторы могут выполнять удаленно, показывает, что кампания была разработана с учетом высокой оперативной гибкости, позволяющей преступникам корректировать действия в соответствии с каждой атакой.

Основные меры для защиты вашего Android от Рокароллы

Несмотря на высокую сложность Рокароллы, принятие определенных мер предосторожности может значительно снизить вероятность заражения.

Следующие предложения соответствуют практикам безопасности, широко рекомендуемым экспертами и исследователями Zimperium.

Основной путь доступа, используемый трояном, — это APK-файлы, полученные из неофициальных источников. Всегда отдавайте предпочтение установке приложений непосредственно из Google Play Store или из магазинов, авторизованных производителем вашего устройства.

Пристальное внимание необходимо уделить разрешениям на доступ. Если обычное приложение запрашивает доступ к этим функциям без очевидного объяснения, это следует интерпретировать как серьезный предупреждающий знак.

Google Play Protect обеспечивает жизненно важный уровень защиты от потенциально вредоносного программного обеспечения. Крайне важно периодически проверять, остается ли эта функция активной в настройках вашего Android-устройства.

Обновления безопасности необходимы для исправления ошибок, которыми могут воспользоваться злоумышленники. Постоянное обновление системы Android и всех приложений значительно снижает вероятность атак.

Кампании социальной инженерии часто используют чувство срочности для принятия быстрых и необдуманных решений. Крайне важно проявлять осторожность со ссылками, полученными через СМС, мессенджеры или социальные сети.

Появление Rokarolla свидетельствует о непрерывной и быстрой эволюции банковских троянов, нацеленных на Android. Сочетая методы фишинга, эксплуатацию служб доступности, кражу учетных данных, наблюдение за финансовыми приложениями и сложные механизмы запутывания, эта угроза представляет значительную опасность как для обычных пользователей, так и для инвесторов в криптоактивы. Общий урок остается неизменным: избегайте установки APK-файлов из сомнительных источников и внимательно проверяйте конфиденциальные разрешения, предоставляемые приложениям. В цифровой среде, где преступники копируют законные услуги с большой точностью, слежка за пользователями остается одним из наиболее важных защитных барьеров.