Un nouveau cheval de Troie bancaire pour Android, baptisé Rokarolla, prend pour cible 217 applications bancaires et de cryptomonnaie. Il utilise un ensemble très large de 137 commandes distinctes.
Ce logiciel malveillant est propagé via des sites web qui prétendent proposer le navigateur Google Chrome ou l’application TikTok. Une fois installé, il peut prendre le contrôle administratif complet de l’appareil compromis.
Il peut voler les identifiants de déverrouillage de l’écran, la liste des contacts et les données des SMS. Il utilise aussi des enregistreurs de frappe qui recopient en continu tout ce que l’utilisateur saisit.
Pendant l’installation, l’application malveillante agit comme un dropper et imite le système de protection intégré Google Play Protect. Elle propose alors à l’utilisateur d’installer Chrome ou TikTok, qui contiennent en réalité le malware Rokarolla.
Une fois lancé sur l’appareil, Rokarolla réclame les permissions pour le service d’accessibilité, ainsi que l’accès aux notifications, aux SMS et aux appels. Ces détails sont révélés par les chercheurs de la société de sécurité mobile Zimperium dans un rapport publié aujourd’hui.
Source : Zimperium
La communication avec le serveur de commande et de contrôle débute par l’envoi d’un profil basique de l’appareil. Ce profil contient des détails comme le modèle du téléphone, la version d’Android installée, la langue, les caractéristiques de l’écran, le niveau de batterie, la capacité de stockage et la mémoire vive disponible.
Selon Zimperium, ces informations servent à générer un identifiant unique pour chaque victime dans la campagne Rokarolla.
L’objectif principal du malware semble être le vol d’informations financières. Pour y parvenir, il vérifie si l’appareil infecté possède l’une des 217 applications ciblées. Il télécharge ensuite la charge utile de phishing qui correspond aux applications trouvées.
Quand la victime ouvre une application qui figure sur la liste, Rokarolla affiche une fausse fenêtre de connexion par-dessus l’application légitime. Cette méthode permet de dérober les identifiants de connexion, les informations de carte de crédit et d’autres données financières.
Source : Zimperium
L’utilisation de ces fenêtres superposées ne se limite pas au vol de données. Le malware s’en sert aussi pour capturer le code PIN ou le motif de déverrouillage de l’écran. Cela lui permet d’opérer sur l’appareil même quand celui-ci est verrouillé.
En outre, ces fenêtres servent à masquer l’activité du malware et à bloquer l’interaction de l’utilisateur. Elles peuvent afficher de faux écrans d’installation quand cela est nécessaire.
Source : Zimperium
Le malware utilise d’autres tactiques d’évasion. Il désactive Google Play Protect, cache l’icône de l’application dans le menu principal, coupe le son et les vibrations, et maintient l’écran allumé indéfiniment.
Zimperium a créé un dépôt GitHub qui répertorie l’intégralité des 137 commandes disponibles pour Rokarolla. Parmi les commandes liées au vol de données, on trouve :
- Voler les messages SMS
- Extraire les informations de contact et les contacts WhatsApp
- Capturer les frappes au clavier
- Enregistrer le contenu de l’écran via la journalisation de l’interface utilisateur
- Copier et manipuler le contenu du presse-papiers
- Bloquer les appels entrants et les alertes de fraude bancaire
- Prendre des captures d’écran périodiquement et les téléverser avec un horodatage
L’association de ces capacités confère aux opérateurs de Rokarolla un contrôle administratif presque total sur un appareil Android infecté. Ils peuvent ainsi commettre des fraudes financières sophistiquées.
Zimperium n’a pas détecté ce malware sur Google Play, le magasin officiel d’applications Android. Il est recommandé aux utilisateurs d’éviter de télécharger des fichiers APK en dehors de Google Play, sauf s’ils font explicitement confiance à l’éditeur.
Les utilisateurs doivent aussi être prudents quand ils accordent des permissions d’accessibilité. Ces permissions peuvent être détournées pour contourner les protections de sécurité standard d’Android. Elles permettent d’obtenir des capacités élevées pour interagir avec l’interface utilisateur ou approuver des invitations système, des actions que les malwares Android recherchent fréquemment.