Malware Android Rokarolla Baru Mencuri PIN, Kode SMS, dan Dana Dompet Kripto

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Peneliti keamanan di zLabs Zimperium telah mendokumentasikan trojan perbankan Android baru, Rokarolla, yang menargetkan 217 aplikasi perbankan dan mata uang kripto dan mengemas…

Peneliti keamanan di zLabs Zimperium telah mendokumentasikan trojan perbankan Android baru, Rokarolla, yang menargetkan 217 aplikasi perbankan dan mata uang kripto dan mengemas 137 perintah jarak jauh.

Pencurian terjadi melalui lapisan luar. Rokarolla mengambil daftar target dari servernya, dan untuk setiap aplikasi yang ditandai aktif, ia mengunduh halaman login HTML palsu dan menyimpannya di database lokal. Ketika korban membuka aplikasi perbankan atau dompet asli, malware menjatuhkan halaman palsu di atas dan menangkap semua yang diketik di dalamnya, termasuk detail kartu.

Laporan tersebut menunjukkan satu halaman palsu yang meniru 'bayangkan' aplikasi perbankan. Hamparan terpisah meniru layar kunci Android untuk menangkap PIN, pola, atau kata sandi, yang memungkinkan operator mengontrol ponsel bahkan saat ponsel terkunci.

Keylogger dan screen logger merekam apa yang diketik dan dilihat pengguna, dan trojan mengikis kontak serta membaca notifikasi. Papan klip ditulis ulang secara diam-diam, menukar alamat dompet penyerang sehingga pembayaran kripto yang disalin masuk ke akun yang salah.

Malware ini membawa beberapa domain C2 cadangan dan dapat memberikan domain baru dengan cepat, jadi menarik satu server tidak akan banyak membantu. Jumlah perintahnya adalah 137 melebihi 107 Zimperium yang dihitung dalam trojan HOOK, dan pedoman yang sama juga diterapkan pada gelombang bankir Android pada tahun 2026: dropper aplikasi palsu, penyalahgunaan aksesibilitas, dan hamparan HTML.

Tidak ada tambalan untuk diterapkan di sini. Ini adalah malware, bukan cacat produk, jadi pertahanannya adalah yang standar bagi para bankir Android. Instal aplikasi hanya dari Google Play, biarkan Play Protect aktif, dan perlakukan permintaan Aksesibilitas yang tidak terduga sebagai tanda bahaya, karena satu izin itulah yang mendorong keseluruhan rantai serangan.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com