Slimme Android-malware is uit op al je bank- en crypto-apps
Het waren onderzoekers van Zimperium die de uiterst gevaarlijke Android-malware ontdekten. Rokarolla sluipt binnen via nagemaakte sites van bekende namen en beschikt over een arsenaal van 137 commando’s. Daarmee kunnen aanvallers op afstand acties uitvoeren, waarbij ze het toestel kunnen bedienen alsof ze het zelf in handen hebben. Zo kunnen ze vlot gegevens stelen en apps manipuleren. (via Bleeping Computer)
Verspreid via ‘Chrome’ en ‘TikTok’
Rokarolla verspreidt zich via malafide websites die populaire apps nabootsen, zoals Google Chrome of TikTok. Gebruikers worden verleid om een valse versie van een bekende app te downloaden, waardoor ze in werkelijkheid een zogeheten dropper installeren.
Die dropper doet zich voor als Google Play Protect, het beveiligingssysteem dat in Android is ingebouwd. Vanuit die hoedanigheid vraagt hij uitgebreide toegangen tot toegankelijkheidsfuncties, sms en meldingen. Eenmaal de malware is geïnstalleerd, schakelt hij Play Protect uit, waardoor de belangrijkste beveiligingslaag van het toestel wegvalt. Zo kan het systeem de malware al helemaal niet meer detecteren.
Slimme aanvallen op bankapps
De aanval gebeurt voornamelijk met overlay‑technieken. Eerst checkt de malware of er op het toestel één of meerdere van de 217 geviseerde financiële apps staan. Daarna downloadt die de corresponderende phishingcode voor die apps. Zodra een gebruiker dan zo’n bank‑ of crypto‑app opent, plaatst Rokarolla een perfect nagemaakte loginpagina bovenop de echte app. Alle ingevoerde gegevens, zoals wachtwoorden, pincodes en kaartinformatie, vloeien zo rechtstreeks naar de aanvallers. Daarnaast kan de malware een vals vergrendelscherm tonen om de pincode of het ontgrendelpatroon van het toestel te stelen. Met die informatie kunnen aanvallers het toestel blijven bedienen, zelfs wanneer het vergrendeld is.
Op die manier krijgen de criminelen volledige controle over het apparaat. De malware kan sms-berichten lezen en versturen om zo eenmalige verificatiecodes (2FA) te onderscheppen, toetsaanslagen registreren via een keylogger, contacten kopiëren, meldingen lezen en de inhoud van het klembord kopiëren of aanpassen.
Gebruikers worden constant om de tuin geleid. De malware blokkeert inkomende oproepen, bijvoorbeeld van de bank die de fraude wil melden, en dempt meldingen. Om de malafide activiteit te verbergen, blokkeert de malware alle handelingen op de telefoon door geregeld valse installatieschermen te tonen. Die melden dat je even geduld moet hebben. Met iedere minuut die verstrijkt, ben je extra gegevens en geld kwijt. Het icoon van de malware is onzichtbaar en het scherm blijft constant aan.
Geen kwetsbaarheid
Op een patch voor een eventueel beveiligingslek moet je niet rekenen, want de malware misbruikt gewoon legitieme Android‑functies om controle te verkrijgen. Aangezien de malware niet op Google Play staat, kan je die enkel downloaden buiten de normale wegen. Daarom luidt de raad opnieuw om apps alleen via de officiële appstores te installeren en om na te denken voor je toegangen verleent.
