Các nhà nghiên cứu bảo mật tại zLabs của Zimperium đã ghi lại một trojan ngân hàng Android mới nhắm mục tiêu vào 217 ứng dụng ngân hàng và tiền điện tử và mang 137 lệnh từ xamang lại cho nhà điều hành gần như toàn quyền kiểm soát điện thoại bị nhiễm virus. Phần mềm độc hại mà Zimperium gọi là Rokarolla theo cơ sở hạ tầng chỉ huy và kiểm soát của nó, có thể đánh cắp mã PIN màn hình khóa, đọc và gửi tin nhắn SMS, viết lại bảng nhớ tạm để chuyển hướng thanh toán bằng tiền điện tử và vô hiệu hóa Google Play Protect.
Rokarolla lây lan qua các trang web độc hại mạo danh các ứng dụng phổ biến như TikTok và Chrome. Thứ đầu tiên nạn nhân cài đặt là một công cụ nhỏ giọt được ngụy trang dưới dạng Google Play Protect, sử dụng giả trang đó để cài đặt trọng tải chính và có được quyền truy cập Trợ năng. Sau khi chạy, một trong những lệnh đầu tiên của trojan sẽ tắt Play Protect, loại bỏ cơ chế bảo vệ tự động chính mà hầu hết người dùng Android đều dựa vào.
Hành vi trộm cắp tài chính hoạt động thông qua các lớp phủ. Rokarolla lấy danh sách mục tiêu từ máy chủ của mình và đối với mỗi ứng dụng ngân hàng hoặc ví được gắn cờ là đang hoạt động, nó sẽ tải xuống một trang đăng nhập HTML giả và lưu trữ nó trong cơ sở dữ liệu cục bộ. Khi nạn nhân mở ứng dụng hợp pháp, phần mềm độc hại sẽ thả trang giả mạo lên trên và ghi lại mọi thứ được nhập vào đó, bao gồm chi tiết thẻ và thông tin đăng nhập.
Một lớp phủ riêng biệt bắt chước màn hình khóa Android để thu thập mã PIN, hình mở khóa hoặc mật khẩu của thiết bị, cho phép người vận hành ra lệnh ngay cả khi điện thoại bị khóa. Trojan đọc mọi tin nhắn SMS trên thiết bị và có thể tự gửi tin nhắn, đủ để chặn các mã dùng một lần mà ngân hàng sử dụng để ủy quyền giao dịch. Bằng cách tự đặt mình làm trình xử lý mặc định cho tin nhắn và cuộc gọi, nó cũng có thể chặn các cuộc gọi đến, ngăn chặn thông báo cảnh báo gian lận đến tay người dùng.
TNW City Coworking Space – Nơi công việc tốt nhất của bạn diễn ra
Một không gian làm việc được thiết kế để phát triển, hợp tác và có cơ hội kết nối vô tận ở trung tâm công nghệ.
Keylogger và trình ghi màn hình sẽ ghi lại những gì người dùng gõ và nhìn thấy, trong khi trojan sẽ xóa danh bạ và đọc thông báo. Bảng tạm được viết lại một cách âm thầm, hoán đổi các địa chỉ ví do kẻ tấn công kiểm soát để khoản thanh toán tiền điện tử được sao chép vào sai tài khoản. Để giám sát, Rokarolla bỏ qua phương pháp truyền màn hình MediaProjection thông thường, phương pháp này đưa ra lời nhắc ghi hình hiển thị và thay vào đó chụp ảnh màn hình thông qua Trợ năng, nén chúng thành PNG và gửi chúng ra từng khung hình một.
Phần mềm độc hại duy trì nhiều miền lệnh và kiểm soát dự phòng và có thể nhận các miền mới một cách nhanh chóng, do đó việc đánh sập một máy chủ sẽ không làm gián đoạn hoạt động. 137 lệnh của nó nhiều hơn 107 lệnh Zimperium được tính trong trojan HOOK và cuốn sách này cũng giống như một cuốn sách chạy qua làn sóng năm 2026 các nhân viên ngân hàng Android: trình thả ứng dụng giả mạo, lạm dụng khả năng truy cập và lớp phủ HTML. Các trojan ngân hàng Android sử dụng các kỹ thuật giống hệt nhau đã được tìm thấy trong các ứng dụng phát trực tuyến giả nhắm mục tiêu đến người hâm mộ World Cup 2026.
Zimperium không xếp Rokarolla vào nhóm mối đe dọa được nêu tên và chưa có phòng thí nghiệm độc lập nào công bố phân tích riêng, vì vậy các tuyên bố kỹ thuật chỉ dựa trên một nguồn duy nhất. Báo cáo của công ty ghi lại khả năng, chưa xác nhận số lượng lây nhiễm, có nghĩa là quy mô lây nhiễm trong thế giới thực vẫn chưa được biết.
Không có bản vá phần mềm nào để áp dụng vì đây là phần mềm độc hại, không phải lỗ hổng sản phẩm. Các biện pháp bảo vệ là biện pháp tiêu chuẩn dành cho nhân viên ngân hàng Android: chỉ cài đặt ứng dụng từ Google Play, bật Play Protect và coi mọi yêu cầu cấp quyền Truy cập không mong muốn là cờ đỏ, vì quyền duy nhất đó thúc đẩy toàn bộ chuỗi tấn công. Zimperium cho biết các sản phẩm của họ sẽ phát hiện dòng này và các chỉ số về sự xâm phạm đã được công bố trong Kho lưu trữ GitHub.
Nguồn The Next Web