Thought Leadership
Der neue Android-Trojaner Rokarolla nimmt 217 Finanz-Apps ins Visier. Er stiehlt PINs, SMS-Codes und leitet Krypto-Zahlungen unbemerkt um.
Die IT-Sicherheitsfirma Zimperium hat einen neuen Android-Banking-Trojaner namens Rokarolla identifiziert. Die Schadsoftware nimmt gezielt 217 Banking- und Kryptowährungs-Anwendungen ins Visier und verfügt über 137 Fernsteuerungsbefehle. Damit erlangen die Akteure eine nahezu vollständige Kontrolle über das infizierte Mobiltelefon. Die Verbreitung erfolgt über manipulierte Internetseiten, die sich als bekannte Anwendungen wie TikTok oder Google Chrome ausgeben.
Zunächst wird ein Schadprogramm installiert, das sich als Schutzfunktion Google Play Protect tarnt. Über diese Maskierung verschafft sich die Anwendung Zugriff auf die Bedienungshilfen des Android-Betriebssystems. Diese Berechtigung wird genutzt, um die eigentliche Schadsoftware nachzuladen und die echte Schutzfunktion des Geräts anschließend vollständig zu deaktivieren.
Datendiebstahl durch manipulierte Benutzeroberflächen
Der Diebstahl von Zugangsdaten basiert auf gefälschten Überlagerungsfenstern. Der Trojaner ruft eine Liste von Zielanwendungen von seinem Steuerungsserver ab. Sobald das Opfer eine der echten Banking- oder Krypto-Apps öffnet, legt sich eine manipulierte HTML-Anmeldeseite über die Benutzeroberfläche. Auf diese Weise werden eingegebene Passwörter und Kreditkartendetails abgefangen. Ein solches Overlay wurde unter anderem für die Banking-App imagin dokumentiert. Eine separate Maske imitiert zudem den Sperrbildschirm des Betriebssystems, um die PIN oder das Entsperrmuster auszulesen, wodurch das Gerät auch im gesperrten Zustand kontrolliert werden kann.
Darüber hinaus liest und versendet das Programm Kurzmitteilungen, wodurch die für Banktransaktionen genutzten Einmal-SMS-Codes abgefangen werden. Indem sich der Trojaner als Standard-Anwendung für SMS und Anrufe einrichtet, können eingehende Warnanrufe von Banken blockiert werden. Ein Keylogger und ein Screen-Logger protokollieren Tastatureingaben und Bildschirminhalte. Zudem überwacht Rokarolla die Zwischenablage des Smartphones. Sobald eine Krypto-Adresse kopiert wird, ersetzt das System diese durch eine Adresse der Angreifer, sodass Zahlungen fehlgeleitet werden. Zur Spionage erstellt das Programm unbemerkt einzelne PNG-Bildschirmfotos über die Bedienungshilfen, statt sichtbare Videoaufzeichnungen zu nutzen.
Schutzmaßnahmen gegen Android-Trojaner Rokarolla
Die Schadsoftware kommuniziert mit mehreren Steuerungsservern und kann im laufenden Betrieb neue Server-Domains empfangen. Ein Abschalten einzelner Server beeinträchtigt die Funktion daher kaum. Die Anzahl von 137 Steuerungsbefehlen übertrifft vergleichbare Trojaner wie HOOK. Da es sich um eine Schadsoftware und nicht um eine Produkt-Schwachstelle handelt, existiert kein technischer Software-Patch. Als Schutzmaßnahmen empfiehlt die Sicherheitsforschung, Anwendungen ausschließlich aus dem offiziellen Google Play Store zu beziehen, die Play-Protect-Funktion aktiv zu lassen und unbegründete Anfragen nach Rechten für die Bedienungshilfen konsequent abzulehnen.
(red)
