Una nuova famiglia di malware Android denominata Rokarolla è stata identificata dai ricercatori di Zimperium: la minaccia che si distingue per le sue avanzate capacità di compromissione e controllo remoto dei dispositivi mobili.
Sebbene venga classificato come banking trojan, Rokarolla va ben oltre il tradizionale furto di credenziali bancarie. L’obiettivo degli operatori che lo utilizzano è, infatti, ottenere il pieno controllo dello smartphone della vittima, trasformandolo in uno strumento attraverso il quale raccogliere informazioni sensibili, intercettare comunicazioni e sottrarre denaro dai conti correnti o dai portafogli di criptovalute.
L’analisi mostra come il malware prenda di mira 217 applicazioni bancarie e di criptovalute utilizzando un ampio set di 137 comandi e come sia stato progettato per massimizzare la persistenza sul dispositivo e garantire agli attaccanti una visibilità completa sulle attività dell’utente.
Ulteriori tattiche per eludere il sistema di protezione includono la disattivazione di Google Play Protect, la rimozione dell’icona dell’applicazione malevola dal cassetto delle app dello smartphone, la disattivazione dell’audio, della vibrazione e il mantenimento dello schermo attivo in modo permanente.
Indice degli argomenti
L’infezione attraverso applicazioni apparentemente legittime
La diffusione di Rokarolla avviene principalmente tramite applicazioni malevole distribuite al di fuori degli store ufficiali che fungono da dropper.
I campioni analizzati dagli esperti si presentano camuffati da Google Play Protect che offre agli utenti la possibilità di installare Chrome o TikTok, che in realtà includono il payload del malware Rokarolla.
Una volta installata, l’applicazione richiede all’utente l’autorizzazione ad accedere ai servizi di Accessibilità di Android.
Questa fase rappresenta il momento cruciale dell’infezione. Quando l’utente concede tali autorizzazioni, Rokarolla acquisisce la capacità di interagire con l’interfaccia grafica, simulare tocchi sullo schermo, autorizzare richieste di permessi e monitorare le attività eseguite sul telefono.
Rokarolla: un arsenale di funzionalità malevole
Dopo aver ottenuto i privilegi necessari, il malware attiva una vasta gamma di funzioni destinate alla raccolta di dati e al controllo del dispositivo.
L’analisi di Zimperium evidenzia la capacità di leggere e inviare messaggi SMS, monitorare le notifiche ricevute, acquisire informazioni sul dispositivo e raccogliere dati presenti negli appunti di sistema.
Questa caratteristica è particolarmente pericolosa poiché molti utenti copiano temporaneamente password, codici di accesso o indirizzi di wallet di criptovalute negli appunti del telefono.
Rokarolla può, inoltre, osservare le attività svolte dall’utente nelle applicazioni installate e raccogliere informazioni dettagliate sulle credenziali inserite durante le operazioni di autenticazione. Tutto il materiale raccolto viene successivamente trasmesso all’infrastruttura controllata dagli attaccanti.
Gli attacchi overlay per rubare credenziali e PIN
Uno degli elementi più efficaci della minaccia è l’utilizzo delle cosiddette schermate overlay.
Questa tecnica consiste nella sovrapposizione di una falsa finestra di autenticazione sopra l’applicazione legittima aperta dalla vittima.
Quando l’utente avvia la propria app bancaria o un servizio finanziario che rientra tra le app target del malware, Rokarolla è in grado di visualizzare una schermata praticamente identica a quella originale.
Convinta di interagire con l’app autentica, la vittima inserisce username, password, PIN e altre informazioni riservate che vengono immediatamente catturate dal malware.
Si tratta di una metodologia consolidata nel mondo dei banking trojan Android, ma Rokarolla la combina con ulteriori capacità di monitoraggio che aumentano significativamente l’efficacia dell’attacco.
Fonte: Zimperium.
Il furto dei codici OTP e l’aggiramento della MFA
Le moderne piattaforme bancarie si affidano sempre più all’autenticazione multifattore per proteggere gli account degli utenti.
Tuttavia, Rokarolla è stato progettato proprio per superare queste difese. Il malware può intercettare SMS e notifiche contenenti codici OTP, codici di conferma e altre informazioni utilizzate nei processi di autenticazione.
In questo modo gli attaccanti non si limitano a ottenere solo le credenziali di accesso, ma riescono anche a completare il processo di autenticazione richiesto dalla banca.
La combinazione tra furto delle credenziali e intercettazione dei codici temporanei consente quindi ai criminali di effettuare operazioni fraudolente e autorizzare transazioni senza che la vittima se ne accorga immediatamente.
Controllo remoto e rischio per utenti e aziende
L’aspetto più preoccupante emerso dall’analisi riguarda anche le funzionalità di controllo remoto. Rokarolla può ricevere istruzioni direttamente dai server di comando e controllo C2, consentendo agli operatori di eseguire diverse attività sul dispositivo compromesso.
Questa capacità trasforma il malware in una vera e propria piattaforma di accesso remoto che permette ai criminali di adattare le proprie azioni in base agli obiettivi individuati.
Non si tratta quindi soltanto di una minaccia per gli utenti privati ma anche per le organizzazioni che consentono ai dipendenti di accedere a risorse aziendali tramite smartphone personali.
Come difendersi da Rokarolla
La migliore difesa consiste nell’installare applicazioni esclusivamente da fonti affidabili e verificare sempre con attenzione le autorizzazioni richieste. Particolare cautela deve essere adottata quando un’applicazione richiede l’accesso ai servizi di Accessibilità senza una reale necessità funzionale.
È inoltre consigliabile mantenere aggiornato il sistema operativo, controllare periodicamente le autorizzazioni concesse alle applicazioni e utilizzare soluzioni di protezione mobile in grado di rilevare comportamenti anomali.
In un contesto in cui gli smartphone custodiscono credenziali, dati bancari e informazioni aziendali, minacce come Rokarolla dimostrano quanto il dispositivo mobile sia ormai diventato uno dei bersagli più appetibili per il cybercrime.
Zimperium ha condiviso un repository GitHub contenente tutti i 137 comandi disponibili per Rokarolla.
Partecipa alla community