Rokarolla: Yeni Android Bankacılık Trojanı
Son dönemde ortaya çıkan Rokarolla isimli yeni Android bankacılık trojanı, 217 farklı bankacılık ve kripto uygulamasını hedef alarak siber güvenlik tehditlerini artırmaktadır. Gelişmiş komut seti ile 137 farklı komut sunan bu kötü amaçlı yazılım, kullanıcı verilerini çalarak ciddi finansal kayıplara yol açabilir.
Saldırı Nasıl Çalışıyor?
Rokarolla, kullanıcıları sahte Google Chrome veya TikTok uygulaması indirilmeye yönlendiren kötü amaçlı web siteleri aracılığıyla dağıtılmaktadır. Kurulum sürecinde, zararlı yazılım kendisini Google Play Protect olarak tanıtmakta ve kullanıcılarını Chrome veya TikTok uygulamasını yüklemeye ikna etmektedir. Uygulama başlatıldığında, Accessibility hizmet izinleri, bildirimler, SMS ve aramalara erişim talep edilmektedir.
Kötü amaçlı yazılım, komut ve kontrol (C2) sunucusu ile iletişime geçerek kullanıcının cihaz profilini göndermekte; bu bilgiler, her kurban için benzersiz bir tanımlayıcı oluşturmak amacıyla kullanılmaktadır. Zimperium tarafından yapılan araştırmalara göre, Rokarolla’nın ana hedefi finansal bilgileri çalmaktır.
Etkilenen Sistemler
Rokarolla, 217 çeşitli bankacılık ve kripto uygulamasını hedef alarak kullanıcıların finansal bilgilerini çalmak için sahte giriş zarfı sunmaktadır. Bu uygulamalar arasında:
- Bankacılık uygulamaları
- Kripto para cüzdanları
- Ticaret platformları
Zararlı yazılım, kullanıcının cihazında bulunan uygulamalarla karşılaştırarak ilgili şifreleme yüklerini indirip sahte giriş ekranları göstermektedir.
Önemli Özellikler ve Taktikler
Rokarolla’nın kullanabileceği bazı veri çalma komutları şu şekildedir:
- SMS mesajlarını çal
- Kişi bilgilerini ve WhatsApp kişilerini çıkart
- Tuş vuruşlarını yakala
- UI kaydı ile ekran içeriğini kaydet
- Panoya müdahale et
- Gelen çağrıları ve banka dolandırıcılığı uyarılarını engelle
- Periyodik olarak ekran görüntüsü al ve zaman damgasıyla yükle
Bu yetenekler, Rokarolla operatörlerinin enfekte olmuş cihaz üzerinde neredeyse tam bir idari kontrol sağlamasını mümkün kılmaktadır.
Çözüm ve Korunma
Zimperium, Rokarolla’nın Google Play’de bulunmadığını belirtmektedir. Bu nedenle kullanıcıların, Google Play dışında APK dosyaları indirmekten kaçınmaları ve yalnızca güvenilir yayıncılardan uygulama yüklemeleri önerilmektedir. Ayrıca, Accessibility izinlerini verirken dikkatli olunmalı; bu izinler, standart Android güvenlik korumalarını aşmak için kötüye kullanılabilir.
Aksiyon
Kullanıcılar, cihazlarını güncel tutmalı ve güvensiz kaynaklardan uygulama indirmekten kaçınmalıdır. Ayrıca, bilmediğiniz kaynaklardan gelen uygulamalara erişim izinleri vermekten kaçının. Gerekli gördüğünüz takdirde cihazınıza güvenlik yazılımları kurarak ekstra koruma sağlamanız önerilmektedir. Unutmayın, proaktif önlemler almak kötü amaçlı yazılımlara karşı en etkili savunmadır.
