New Rokarolla Android Malware Steals PINs, SMS Codes, and Crypto Wallet Funds

Rokarolla : Un nouveau cheval de Troie bancaire Android aux capacités d’intrusion totales

Le malware Rokarolla est un cheval de Troie bancaire sophistiqué ciblant 217 applications financières et de cryptomonnaies. Il permet aux attaquants de prendre le contrôle quasi total des appareils infectés en exploitant les services d’accessibilité d’Android.

Points clés :

• Vecteur d’infection : Diffusion via des sites malveillants proposant de fausses applications (ex: TikTok, Chrome) et utilisant un “dropper” se faisant passer pour Google Play Protect.
• Fonctionnalités malveillantes :
  • Utilisation de fausses pages de connexion (overlays) pour dérober des identifiants bancaires et des codes PIN.
  • Interception et envoi de SMS pour contourner l’authentification à deux facteurs (2FA).
  • Modification du presse-papiers pour détourner les transactions en cryptomonnaies.
  • Capture d’écran discrète et enregistrement des frappes clavier (keylogging).
  • Désactivation forcée de Google Play Protect.
• Persistance : Utilise des serveurs de commande (C2) multiples et dynamiques pour éviter d’être neutralisé.

Vulnérabilités exploitées : Il ne s’agit pas d’une vulnérabilité logicielle (CVE) spécifique au système d’exploitation, mais d’un abus détourné des services d’accessibilité d’Android pour outrepasser les protections de sécurité et interagir avec l’interface utilisateur.

Recommandations :

• Installation sécurisée : Téléchargez exclusivement vos applications depuis le Google Play Store officiel.
• Gestion des permissions : Soyez extrêmement vigilant face à toute demande d’activation des services d’accessibilité ; il s’agit du vecteur principal de ce type d’attaque.
• Protection active : Maintenez Google Play Protect activé en permanence.
• Veille : Consultez les indicateurs de compromission (IOC) fournis par Zimperium sur GitHub pour vérifier l’intégrité de vos systèmes.

Source