Rokarolla zielt auf 217 Banking- und Krypto-Apps unter Android

Zusammenfassung

Das Sicherheitsunternehmen Zimperium warnt vor Rokarolla, einem neuen Android-Banking-Trojaner, der es auf mehr als 200 Anwendungen aus dem Bank- und Kryptobereich abgesehen hat. Verbreitet wird die Schadsoftware über bösartige Webseiten, die sie als populäre Apps wie Chrome und TikTok tarnen. Diese Anwendungen liefern die eigentliche Schadkomponente aus, indem sie sich als Google Play Protect ausgeben. Laut Zimperium fordert Rokarolla nach der Infektion weitreichende Berechtigungen an und kann sogar die Sperrbildschirm-Zugangsdaten eines Android-Smartphones erfassen, also PIN, Muster oder Passwort. Damit wird nicht nur die Übernahme des Geräts möglich, sondern auch der Diebstahl sensibler Informationen, selbst wenn das Telefon gesperrt ist. Nach Angaben von Zimperium kann der Trojaner Daten aus 217 Banking- und Kryptowährungs-Apps stehlen und nutzt dafür Bildschirm-Overlays, um Zugangsdaten per Phishing abzufangen.

Zimperium beschreibt Rokarolla als Android-Malware mit breitem Funktionsumfang. Im Zentrum steht der Missbrauch von Overlays, um Anmeldedaten aus Banking- und Krypto-Anwendungen abzugreifen. Insgesamt soll die Schadsoftware 217 entsprechende Apps ins Visier nehmen können.

Die Verbreitung erfolgt laut Zimperium über präparierte Webseiten. Dort wird die Malware als vermeintlich legitime Anwendung angeboten, unter anderem unter den Namen bekannter Apps wie Chrome und TikTok. Nach der Installation wird die eigentliche Nutzlast nachgeladen, wobei sich die Anwendung als Google Play Protect ausgibt.

Hat sich Rokarolla auf einem Gerät eingenistet, verlangt sie zahlreiche Berechtigungen. Besonders kritisch ist laut Zimperium die Fähigkeit, Sperrbildschirm-Daten wie PIN, Entsperrmuster oder Passwort zu erfassen. Das eröffnet den Angreifern die Möglichkeit, die Kontrolle über das Gerät zu übernehmen und sensible Daten auch dann zu entwenden, wenn das Smartphone gesperrt ist.

Darüber hinaus kann die Malware WhatsApp-Kontaktinformationen abgreifen. Dafür missbraucht sie die Bedienungshilfen von Android, um die Struktur des aktuell angezeigten Bildschirms auszulesen. Zusätzlich ist Rokarolla in der Lage, SMS-Nachrichten zu exfiltrieren und Anrufe zu kapern.

Zu den weiteren Funktionen zählt ein Keylogger, der sämtliche Tastatureingaben des Opfers mitschneiden kann. Außerdem manipuliert die Schadsoftware die Zwischenablage, um Kryptowährungsadressen des Nutzers durch Adressen zu ersetzen, die von den Angreifern kontrolliert werden.

Wie Zimperium weiter mitteilt, erstellt Rokarolla systematisch Bildschirmaufnahmen des Geräts, komprimiert sie im PNG-Format und exfiltriert die Bilddaten zusammen mit einem präzisen Zeitstempel. Die Malware setzt zudem verschiedene Methoden ein, um einer Entdeckung zu entgehen, darunter das Deaktivieren von Google Play Protect.

Ein weiterer Tarnmechanismus betrifft die Sichtbarkeit auf dem Gerät. Zimperium erklärt, dass Rokarolla zunächst ihr Anwendungssymbol aus der App-Übersicht des Geräts ausblendet, um nicht visuell aufzufallen. Ergänzend dazu kann die Malware sämtliche Töne und Vibrationen des Geräts stummschalten. Nach Darstellung des Unternehmens soll sie so bei betrügerischen Aktivitäten unbemerkt arbeiten und Hinweise wie Sicherheitswarnungen oder eingehende Verifizierungsanrufe von Banken wirksam unterdrücken.

Rokarolla zielt auf 217 Banking- und Krypto-Apps unter Android

Ähnliche Artikel

Neueste Artikel