Il panorama delle minacce per Android, come spesso vi raccontiamo sulle nostre pagine, non accenna ad arrestare la sua espansione e questa volta si arricchisce di un nuovo e pericoloso attore.
Si chiama Rokarolla, ed è un trojan bancario analizzato dai ricercatori di sicurezza nelle scorse ore che, stando a quanto riferito, è in grado di assumere il controllo effettivo di uno smartphone, rubare le credenziali di accesso a oltre 200 app tra servizi bancari e piattaforme di criptovalute, e monitorare invisibilmente gran parte delle attività dell’utente.
Per citare alcune minacce simili,a settembre avevamo parlato di Brokewell, un malware capace persino di aggirare i codici generati da Google Authenticator, rendendo inefficace l’autenticazione a due fattori. A novembre era toccato a Sturnus, che si nascondeva in APK camuffati da app note come Chrome. Rokarolla segue lo stesso schema, con alcune caratteristiche che lo rendono particolarmente insidioso.
Indice:
Segui TuttoAndroid su Google Discover
Come funziona Rokarolla
Una volta installato sul dispositivo, il malware attende che l’utente apra una delle app bancarie o di criptovalute presenti nella sua lista di obiettivi. A quel punto scarica e sovrappone una schermata di accesso contraffatta, identica a quella dell’app originale. Qualsiasi dato digitato in quella schermata, inclusi nome utente, password e numeri di carta, viene inviato silenziosamente agli autori dell’attacco.
Rokarolla sfrutta le funzionalità di accessibilità di Android per monitorare l’attività sul dispositivo in modo capillare. È in grado di riconoscere le schermate di WhatsApp individuando elementi dell’interfaccia come “Chat” e “Chiamate”, estrarre le informazioni dei contatti, leggere e inviare messaggi SMS. Questo gli consente di intercettare le password monouso (OTP) e i codici di autenticazione a due fattori, aggirando di fatto uno degli strumenti di protezione più diffusi.
Badate bene che il malware non si limita al furto di credenziali ma utilizza anche finte schermate di blocco per intercettare il PIN, la sequenza di sblocco o la password del dispositivo. È in grado di assumere il controllo di messaggi di testo e chiamate telefoniche, bloccando gli avvisi di sicurezza e nascondendo i segnali di frode.
Se si copia e incolla l’indirizzo di un portafoglio di criptovalute, il malware può sostituirlo silenziosamente con uno appartenente agli attaccanti, rubando l’intero importo della transazione.
Per restare nascosto, Rokarolla può nascondere la propria icona dalla schermata home, disattivare l’audio del dispositivo, disabilitare Google Play Protect e impedire che lo schermo entri in modalità di sospensione.
Come si diffonde: finte versioni di TikTok e Chrome
Rokarolla viene distribuito attraverso siti web non autorizzati, dove viene proposto come versione contraffatta di app popolari come TikTok o Chrome. Anziché rimandare al Google Play Store ufficiale, questi siti spingono l’utente a scaricare l’app direttamente, una procedura nota come sideloading. Una volta installata, l’app si spaccia per Google Play Protect e scarica silenziosamente il payload malevolo.
Per ottenere l’accesso necessario a operare, l’app richiede permessi di ampio raggio: accesso alle funzioni di accessibilità, lettura degli SMS e accesso alle notifiche. Richieste che possono sembrare legittime a un utente inesperto, soprattutto se l’app si presenta come un componente di sistema.
Come proteggersi da queste minacce
Anche in questo caso, come vi ricordiamo sempre, le regole da seguire sono poche ma efficaci: non installare app tramite sideloading se sono disponibili sul Google Play Store. Qualsiasi app che si presenta come Google Play Protect o come un componente del sistema operativo e richiede di essere installata manualmente è con ogni probabilità malevola e questi componenti non si installano mai manualmente.
È bene trattare con estrema cautela qualsiasi richiesta di accesso alle funzionalità di accessibilità da parte di app che non sono chiaramente strumenti di accessibilità.
Non concedere permessi avanzati ad app scaricate da link o siti web è una buona abitudine generale. Infine, vale sempre la pena esaminare attentamente le schermate di accesso alle app bancarie e se qualcosa sembra strano o compaiono più richieste di accesso insolite, è meglio chiudere l’app e riaprirla dall’icona ufficiale.