⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança do zLabs da Zimperium documentaram um novo trojan bancário para Android, Rokarolla, que tem como alvo 217 aplicativos bancários e de criptomoeda e contém 137 comandos remotos.
Juntos, eles dão à operadora controle quase total de um telefone infectado: ele remove PINs da tela de bloqueio, lê e envia SMS, reescreve a área de transferência para redirecionar pagamentos criptográficos e desliga o Google Play Protect.
Rokarolla, que leva o nome de seus servidores de comando e controle, se espalha por meio de sites maliciosos que se passam por aplicativos conhecidos, como TikTok e Chrome.
A primeira coisa que a vítima instala é um conta-gotas que finge ser o Google Play Protect. Ele usa esse disfarce para instalar a carga útil e obter acesso de acessibilidade. Assim que o malware estiver em execução, um de seus comandos desativa o Play Protect.
O roubo passa por sobreposições. Rokarolla extrai uma lista de alvos de seu servidor e, para cada aplicativo sinalizado como ativo, baixa uma página de login HTML falsa e a armazena em um banco de dados local. Quando a vítima abre o aplicativo bancário ou de carteira real, o malware coloca a página falsa no topo e captura tudo o que é digitado nela, incluindo os detalhes do cartão.
O relatório mostra uma dessas páginas falsas que imita o aplicativo bancário ‘imagin’. Uma sobreposição separada imita a tela de bloqueio do Android para capturar o PIN, padrão ou senha, o que permite à operadora controlar o telefone mesmo quando ele está bloqueado.
Ele lê todos os SMS do dispositivo e pode enviar mensagens sozinho, o que é suficiente para obter os códigos SMS únicos que os bancos usam para aprovar logins e transações. Ao se tornar o aplicativo padrão do telefone para mensagens de texto e chamadas, ele também pode bloquear chamadas recebidas, de modo que uma chamada de aviso do banco nunca seja completada.
Um keylogger e um registrador de tela registram o que o usuário digita e vê, e o trojan coleta contatos e lê notificações. A área de transferência é reescrita silenciosamente, trocando os endereços da carteira do invasor para que um pagamento criptográfico copiado caia na conta errada.
Para vigilância, Rokarolla pula a transmissão de tela normal do MediaProjection, que lança um prompt de gravação visível e, em vez disso, tira capturas de tela por meio do Accessibility, compacta-as em PNG e envia-as um quadro por vez. Essa abordagem instantânea é mais simples e silenciosa do que o VNC oculto ao vivo visto em famílias como Klopatra.
O malware carrega vários domínios C2 substitutos e pode receber novos instantaneamente, portanto, puxar um único servidor faz pouco. São 137 comandos que superam os 107 Zimperium contados no trojan HOOK, e o manual é o mesmo que está sendo executado em uma onda de 2.026 banqueiros Android: droppers de aplicativos falsos, abuso de acessibilidade e sobreposições de HTML.
Não há patch para aplicar aqui. Isso é malware, não uma falha do produto, então as defesas são as padrão para os banqueiros Android. Instale aplicativos apenas do Google Play, deixe o Play Protect ativado e trate qualquer solicitação inesperada de acessibilidade como um sinal de alerta, já que essa permissão impulsiona toda a cadeia de ataque.
A Zimperium afirma que seus próprios produtos detectam a família e os indicadores de comprometimento estão em seu repositório no GitHub.
Zimperium não vinculou Rokarolla a um grupo nomeado. O que a construção mostra é a intenção: um banqueiro reunido para superar as proteções exatas nas quais os usuários devem confiar, desde o Play Protect até a tela de bloqueio.
Juntos, eles dão à operadora controle quase total de um telefone infectado: ele remove PINs da tela de bloqueio, lê e envia SMS, reescreve a área de transferência para redirecionar pagamentos criptográficos e desliga o Google Play Protect.
Rokarolla, que leva o nome de seus servidores de comando e controle, se espalha por meio de sites maliciosos que se passam por aplicativos conhecidos, como TikTok e Chrome.
A primeira coisa que a vítima instala é um conta-gotas que finge ser o Google Play Protect. Ele usa esse disfarce para instalar a carga útil e obter acesso de acessibilidade. Assim que o malware estiver em execução, um de seus comandos desativa o Play Protect.
O roubo passa por sobreposições. Rokarolla extrai uma lista de alvos de seu servidor e, para cada aplicativo sinalizado como ativo, baixa uma página de login HTML falsa e a armazena em um banco de dados local. Quando a vítima abre o aplicativo bancário ou de carteira real, o malware coloca a página falsa no topo e captura tudo o que é digitado nela, incluindo os detalhes do cartão.
O relatório mostra uma dessas páginas falsas que imita o aplicativo bancário ‘imagin’. Uma sobreposição separada imita a tela de bloqueio do Android para capturar o PIN, padrão ou senha, o que permite à operadora controlar o telefone mesmo quando ele está bloqueado.
Ele lê todos os SMS do dispositivo e pode enviar mensagens sozinho, o que é suficiente para obter os códigos SMS únicos que os bancos usam para aprovar logins e transações. Ao se tornar o aplicativo padrão do telefone para mensagens de texto e chamadas, ele também pode bloquear chamadas recebidas, de modo que uma chamada de aviso do banco nunca seja completada.
Um keylogger e um registrador de tela registram o que o usuário digita e vê, e o trojan coleta contatos e lê notificações. A área de transferência é reescrita silenciosamente, trocando os endereços da carteira do invasor para que um pagamento criptográfico copiado caia na conta errada.
Para vigilância, Rokarolla pula a transmissão de tela normal do MediaProjection, que lança um prompt de gravação visível e, em vez disso, tira capturas de tela por meio do Accessibility, compacta-as em PNG e envia-as um quadro por vez. Essa abordagem instantânea é mais simples e silenciosa do que o VNC oculto ao vivo visto em famílias como Klopatra.
O malware carrega vários domínios C2 substitutos e pode receber novos instantaneamente, portanto, puxar um único servidor faz pouco. São 137 comandos que superam os 107 Zimperium contados no trojan HOOK, e o manual é o mesmo que está sendo executado em uma onda de 2.026 banqueiros Android: droppers de aplicativos falsos, abuso de acessibilidade e sobreposições de HTML.
Não há patch para aplicar aqui. Isso é malware, não uma falha do produto, então as defesas são as padrão para os banqueiros Android. Instale aplicativos apenas do Google Play, deixe o Play Protect ativado e trate qualquer solicitação inesperada de acessibilidade como um sinal de alerta, já que essa permissão impulsiona toda a cadeia de ataque.
A Zimperium afirma que seus próprios produtos detectam a família e os indicadores de comprometimento estão em seu repositório no GitHub.
Zimperium não vinculou Rokarolla a um grupo nomeado. O que a construção mostra é a intenção: um banqueiro reunido para superar as proteções exatas nas quais os usuários devem confiar, desde o Play Protect até a tela de bloqueio.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #malware #rokarolla #para #android #rouba #pins, #códigos #sms #e #fundos #de #carteira #criptografada
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário