🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
.jpg)
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo trojan bancário para Android chamado Rokarolla tem como alvo 217 aplicativos bancários e de criptomoeda usando um extenso conjunto de 137 comandos.
O malware é distribuído por meio de sites maliciosos que pretendem fornecer o aplicativo Google Chrome ou TikTok e pode assumir o controle administrativo completo de um dispositivo comprometido.
Seus recursos incluem o roubo de credenciais da tela de bloqueio, listas de contatos e dados de SMS, bem como o uso de keyloggers para registrar continuamente as entradas do usuário.
Durante o processo de instalação, o aplicativo malicioso atua como um conta-gotas e se faz passar pelo Google Play Protect, o sistema antimalware integrado do Android, oferecendo aos usuários a opção de instalar o Chrome ou o TikTok, que incluem o malware Rokarolla.
Quando lançado no dispositivo, Rokarolla solicita permissões de serviço de acessibilidade, bem como acesso a notificações, SMS e chamadas, revelaram hoje pesquisadores da empresa de segurança móvel Zimperium em um relatório.
O processo de instalaçãoFonte: Zimperium
A comunicação com o servidor de comando e controle (C2) começa com o envio de um perfil básico do dispositivo contendo detalhes como modelo do telefone, versão instalada do Android, localidade, características de exibição, nível de bateria, capacidade de armazenamento e RAM disponível.
Segundo Zimperium, essas informações são usadas para gerar um identificador exclusivo para cada vítima da campanha Rokarolla.
A Zimperium afirma que o objetivo principal do malware parece ser o roubo de informações financeiras. Para conseguir isso, ele verifica o dispositivo infectado em uma lista de 217 aplicativos direcionados e, em seguida, baixa a carga de phishing correspondente a quaisquer aplicativos correspondentes.
Quando a vítima abre um aplicativo da lista, Rokarolla exibe uma sobreposição de login falsa para roubar credenciais de login, informações de cartão de crédito e outros dados financeiros.
Processo de roubo de dados financeirosFonte: Zimperium
O uso de sobreposições vai além do roubo de dados. O malware também depende desse método para capturar o PIN/padrão da tela de bloqueio e operar o dispositivo mesmo quando ele está bloqueado.
Além disso, as sobreposições são usadas para ocultar a atividade do malware e bloquear a interação do usuário, exibindo telas de instalação falsas quando necessário.
Sobreposição de PIN (esquerda) e sobreposição de instalação falsa (direita)Fonte: Zimperium
Táticas de evasão adicionais incluem desativar o Google Play Protect, ocultar o ícone do aplicativo na gaveta de aplicativos, silenciar o áudio e a vibração e manter a tela ativa indefinidamente.
Zimperium criou um repositório GitHub com todos os 137 comandos disponíveis para Rokarolla. Alguns dos comandos de roubo de dados incluem:
Roubar mensagens SMS
Extraia informações de contato e contatos do WhatsApp
Capturar teclas digitadas
Grave conteúdo na tela por meio de registro da IU
Copie e manipule o conteúdo da área de transferência
Bloqueie chamadas recebidas e alertas de fraude bancária
Faça capturas de tela periodicamente e carregue-as com carimbos de data e hora
A combinação desses recursos dá aos operadores da Rokarolla controle administrativo quase completo sobre um dispositivo Android infectado, permitindo-lhes cometer fraudes financeiras avançadas.
A Zimperium não encontrou o malware no Google Play, repositório oficial de aplicativos Android. Recomenda-se que os usuários evitem baixar arquivos APK fora do Google Play, a menos que confiem explicitamente no editor.
Além disso, os usuários devem ter cuidado ao conceder permissões de acessibilidade, pois elas podem ser usadas de forma abusiva para contornar as proteções de segurança padrão do Android e obter capacidades elevadas para interagir com a interface do usuário ou aprovar prompts do sistema, ações frequentemente procuradas por malware Android.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
O malware é distribuído por meio de sites maliciosos que pretendem fornecer o aplicativo Google Chrome ou TikTok e pode assumir o controle administrativo completo de um dispositivo comprometido.
Seus recursos incluem o roubo de credenciais da tela de bloqueio, listas de contatos e dados de SMS, bem como o uso de keyloggers para registrar continuamente as entradas do usuário.
Durante o processo de instalação, o aplicativo malicioso atua como um conta-gotas e se faz passar pelo Google Play Protect, o sistema antimalware integrado do Android, oferecendo aos usuários a opção de instalar o Chrome ou o TikTok, que incluem o malware Rokarolla.
Quando lançado no dispositivo, Rokarolla solicita permissões de serviço de acessibilidade, bem como acesso a notificações, SMS e chamadas, revelaram hoje pesquisadores da empresa de segurança móvel Zimperium em um relatório.
O processo de instalaçãoFonte: Zimperium
A comunicação com o servidor de comando e controle (C2) começa com o envio de um perfil básico do dispositivo contendo detalhes como modelo do telefone, versão instalada do Android, localidade, características de exibição, nível de bateria, capacidade de armazenamento e RAM disponível.
Segundo Zimperium, essas informações são usadas para gerar um identificador exclusivo para cada vítima da campanha Rokarolla.
A Zimperium afirma que o objetivo principal do malware parece ser o roubo de informações financeiras. Para conseguir isso, ele verifica o dispositivo infectado em uma lista de 217 aplicativos direcionados e, em seguida, baixa a carga de phishing correspondente a quaisquer aplicativos correspondentes.
Quando a vítima abre um aplicativo da lista, Rokarolla exibe uma sobreposição de login falsa para roubar credenciais de login, informações de cartão de crédito e outros dados financeiros.
Processo de roubo de dados financeirosFonte: Zimperium
O uso de sobreposições vai além do roubo de dados. O malware também depende desse método para capturar o PIN/padrão da tela de bloqueio e operar o dispositivo mesmo quando ele está bloqueado.
Além disso, as sobreposições são usadas para ocultar a atividade do malware e bloquear a interação do usuário, exibindo telas de instalação falsas quando necessário.
Sobreposição de PIN (esquerda) e sobreposição de instalação falsa (direita)Fonte: Zimperium
Táticas de evasão adicionais incluem desativar o Google Play Protect, ocultar o ícone do aplicativo na gaveta de aplicativos, silenciar o áudio e a vibração e manter a tela ativa indefinidamente.
Zimperium criou um repositório GitHub com todos os 137 comandos disponíveis para Rokarolla. Alguns dos comandos de roubo de dados incluem:
Roubar mensagens SMS
Extraia informações de contato e contatos do WhatsApp
Capturar teclas digitadas
Grave conteúdo na tela por meio de registro da IU
Copie e manipule o conteúdo da área de transferência
Bloqueie chamadas recebidas e alertas de fraude bancária
Faça capturas de tela periodicamente e carregue-as com carimbos de data e hora
A combinação desses recursos dá aos operadores da Rokarolla controle administrativo quase completo sobre um dispositivo Android infectado, permitindo-lhes cometer fraudes financeiras avançadas.
A Zimperium não encontrou o malware no Google Play, repositório oficial de aplicativos Android. Recomenda-se que os usuários evitem baixar arquivos APK fora do Google Play, a menos que confiem explicitamente no editor.
Além disso, os usuários devem ter cuidado ao conceder permissões de acessibilidade, pois elas podem ser usadas de forma abusiva para contornar as proteções de segurança padrão do Android e obter capacidades elevadas para interagir com a interface do usuário ou aprovar prompts do sistema, ações frequentemente procuradas por malware Android.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #novo #malware #rokarolla #para #android #atinge #217 #aplicativos #bancários #e #criptográficos
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário