Čuvajte se Rokarolle: Dok prazni račune, novi trojanac blokira upozorenja banaka o transakcijama
Ova visokotehnološka pretnja ne samo da krade novac i poverljive podatke sa zaraženih mobilnih uređaja, već svesno i potpuno izoluje žrtvu od bilo kakve komunikacije sa matičnom bankom. Primarni cilj ovog sofisticiranog napada jeste nesmetano obavljanje transakcija kako bi masovna finansijska prevara ostala potpuno neprimećena od strane korisnika.
Kako funkcioniše infekcija mobilnih telefona
Sajber kriminalci distribuiraju ovaj destruktivni program preko zlonamernih veb sajtova koji verno oponašaju popularne platforme kao što su TikTok ili Google Chrome. Tokom početne faze infekcije sistema, aktivira se poseban prateći program, poznatiji kao dropper, koji se lažno predstavlja kao legitimna Google Play Protect bezbednosna stranica.
Na taj način, malver uspeva da prevari operativni sistem Android i potpuno neprimetno instalira glavni štetni kod direktno na žrtvin telefon. Za razliku od uobičajenih pretnji, Rokarolla zahteva izuzetno visoke privilegije i teži ka preuzimanju apsolutne administrativne kontrole nad celokupnim operativnim sistemom pametnog uređaja.
Ovaj zlonamerni softver dobio je specifično ime po jedinstvenoj komandno-kontrolnoj server infrastrukturi koju hakeri koriste za koordinaciju svojih kriminalnih aktivnosti. Prema zvaničnim podacima bezbednosnih istraživača, ovaj virus je sposoban da izvrši čak 137 daljinskih komandi na daljinu.
Brutalni napad na bankarske i kripto aplikacije
Dokumentovani tehnički izveštaji pokazuju da Rokarolla trenutno aktivno napada čak 217 različitih bankarskih i kriptovalutnih aplikacija širom sveta. Kada korisnik pokrene svoju zvaničnu aplikaciju za e-banking, malver munjevito reaguje i preko ekrana projektuje lažnu HTML stranicu za prijavljivanje.
Korisnik u zabludi unosi svoje podatke u to lažno polje, a sistem te podatke odmah šalje na servere koji su pod kontrolom hakera. Među ključnim podacima koje ovaj trojanac bez milosti krade nalaze se korisnička imena, lozinke, PIN kodovi, pa čak i kompleksni obrasci za otključavanje ekrana. Pored toga, virus uspešno presreće WhatsApp kontakte i kompletnu istoriju SMS poruka koje se nalaze u memoriji telefona. Finansijska šteta raste iz minuta u minut jer napadači dobijaju sve što im je potrebno za potpuno preuzimanje digitalnog identiteta žrtve.
Potpuna blokrada bankarskih upozorenja i SMS kodova
Najopasnija karakteristika ovog trojanca jeste njegova sposobnost da postane podrazumevana aplikacija za upravljanje telefonskim pozivima i tekstualnim porukama. Na taj način, Rokarolla automatski blokira sve dolazne pozive iz banke i uspešno presreće SMS poruke koje sadrže jednokratne kodove za verifikaciju transakcija. To znači da banka može poslati hitno upozorenje o sumnjivom prenosu novca, ali žrtva to obaveštenje nikada neće videti na svom ekranu.
Da bi prevara bila stoprocentno uspešna, malver samostalno isključuje zvuk i vibraciju na telefonu kako zvučni signali ne bi privukli pažnju vlasnika.On takođe namerno sprečava gašenje ekrana kako se njegove skrivene i ilegalne pozadinske aktivnosti nikada ne bi prekinule. Nakon uspešne instalacije, virus uklanja sopstvenu ikonicu iz menija sa aplikacijama i postaje nevidljiv za obično oko korisnika.
Zloupotreba sistemskih funkcija i krađa kriptovaluta
Za realizaciju svojih mračnih ciljeva, Rokarolla brutalno zloupotrebljava Android Accessibility Services, funkciju koja je izvorno namenjena osobama sa invaliditetom. Preuzimanjem kontrole nad ovom funkcijom, virus dobija moć da čita apsolutno sve što se nalazi na ekranu i da upravlja telefonom bez ikakvog znanja korisnika.
Hakeri takođe periodično prave automatske snimke ekrana i preuzimaju potpunu kontrolu nad svim aktivnim procesima u uređaju. Jedna od najnaprednijih funkcija ovog malvera jeste neprimetno menjanje sadržaja međuspremnika, odnosno takozvanog clipboard sistema na telefonu.
Ukoliko korisnik kopira dugačku adresu svog kripto novčanika sa namerom da prebaci digitalni novac, malver tu adresu u sekundi menja adresom napadača. Na taj način, sav novac i digitalna imovina nesvesno odlaze direktno na račune organizovanih sajber kriminalaca.
Za sada nema zvaničnih potvrda da je malver Rokarolla prisutan u Srbiji niti da direktno napada aplikacije domaćih banaka. Ipak, indirektna opasnost postoji za sve građane Srbije koji koriste strane aplikacije za plaćanje, globalne digitalne novčanike ili platforme za trgovinu kriptovalutama. Budući da se virus širi preko lažnih internet stranica koje nude popularne programe poput TikToka ili Chrome-a, svako ko preuzima sadržaj van zvaničnih izvora može postati žrtva ovog napada.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
