根據行動資安公司 Zimperium 的說法,一款名為 Rokarolla 的新型 Android 網路銀行木馬正鎖定 217 個銀行與加密貨幣應用程式,同時賦予攻擊者對受感染裝置的廣泛控制權。該惡意程式旨在透過假畫面入侵金融與加密貨幣應用程式:將假畫面覆蓋在合法程式之上,以竊取裝置解鎖憑證與銀行資訊。隨著網路犯罪分子愈來愈多地以複雜的覆蓋攻擊鎖定金融應用程式,Rokarolla 代表對行動銀行安全性的升級威脅。
Rokarolla 透過假 TikTok 與 Chrome 應用程式散佈
Zimperium 表示,Rokarolla 透過惡意網站散佈,會偽裝成 TikTok 和 Google Chrome 等熱門應用程式。該惡意程式利用此散佈方式,誘使使用者在其 Android 裝置上下載並安裝該木馬。
惡意程式利用假覆蓋畫面竊取憑證
根據 Zimperium 的說法,該惡意程式可透過顯示假的 Android 鎖定畫面來竊取裝置解鎖憑證,包括 PIN、圖形密碼與密碼。使用者在假畫面中輸入的資訊,接著會被送往攻擊者可控的基礎設施。一旦受害者開啟被鎖定的金融應用程式,Rokarolla 也能竊取銀行與加密貨幣憑證。當惡意程式辨識出目標應用程式後,就能顯示假的登入頁面以擷取憑證或信用卡資訊。
Rokarolla 包含 137 個裝置控制指令
Zimperium 表示,該惡意程式包含 137 個指令,讓攻擊者能控制受感染裝置、蒐集簡訊、竊取通訊錄、錄製使用者輸入,並監控螢幕上顯示的內容。根據該報告,Rokarolla 也能阻擋來電、靜音裝置音訊並停用 Google Play Protect。該資安公司表示,惡意程式能攔截簡訊,以受害者名義發送簡訊,並阻止使用者接收銀行的詐欺警示。
惡意程式鎖定 217 個銀行與加密貨幣應用程式
Zimperium 表示,Rokarolla 鎖定超過 200 個金融、加密貨幣與社群媒體應用程式,包括 217 個獨立的加密貨幣與銀行應用程式。該公司表示,該惡意程式的功能旨在協助金融詐欺,並阻止受害者在受感染裝置上中斷惡意活動。
常見問題集
Rokarolla 是什麼?它鎖定多少個應用程式?
Rokarolla 是一款新的 Android 網路銀行木馬,鎖定 217 個銀行與加密貨幣應用程式。該惡意程式透過偽裝成 TikTok 與 Google Chrome 等熱門應用程式的惡意網站散佈,並使用假覆蓋畫面從受感染裝置竊取憑證。
Rokarolla 如何竊取使用者憑證?
Rokarolla 會透過顯示偽造的畫面(覆蓋在合法應用程式之上)來竊取憑證。該惡意程式可顯示假的 Android 鎖定畫面以擷取 PIN、圖形密碼與密碼;當受害者開啟被鎖定的銀行或加密貨幣應用程式時,則可顯示假的登入頁面以擷取登入憑證或信用卡資訊。
Rokarolla 對受感染裝置有哪些控制能力?
Rokarolla 包含 137 個指令,允許攻擊者控制受感染裝置、蒐集簡訊、竊取通訊錄、錄製使用者輸入、監控螢幕活動、阻擋來電、靜音裝置音訊、停用 Google Play Protect、攔截簡訊、以受害者名義發送簡訊,並阻止使用者接收銀行的詐欺警示。
