私たちがこのページで頻繁にお伝えしているように、Android の脅威の状況はその拡大が止まる気配がなく、今回は新たな危険な攻撃者によってさらに強化されています。
これは「Rokarolla」と呼ばれ、過去数時間にセキュリティ研究者によって分析されたバンキング型トロイの木馬で、レポートによると、スマートフォンを効果的に制御し、バンキング サービスや仮想通貨プラットフォームを含む 200 以上のアプリへのアクセス資格情報を盗み、ユーザーのアクティビティの大部分を目に見えない形で監視することができます。
同様の脅威をいくつか挙げると、9 月に Brokewell についてお話ししました。Brokewell は、Google Authenticator によって生成されたコードをバイパスして、2 要素認証を無効にすることさえできるマルウェアです。 11 月には、Chrome などの有名なアプリを装った APK に隠れていた Sturnus の番となりました。 Rokarolla も同じパターンに従いますが、特に危険な機能がいくつかあります。
Google Discover で Apple Geek LABO をフォローする
ロカロラの仕組み
デバイスにインストールされると、マルウェアはユーザーがターゲット リストにある銀行アプリまたは仮想通貨アプリのいずれかを開くのを待ちます。次に、元のアプリと同じ偽のログイン画面をダウンロードしてオーバーレイします。ユーザー名、パスワード、カード番号など、その画面に入力したデータはすべて、黙って攻撃者に送信されます。
Rokarolla は Android のアクセシビリティ機能を利用して、デバイス上のアクティビティを包括的な方法で監視します。 「チャット」や「通話」などのインターフェース要素を識別して WhatsApp 画面を認識し、連絡先情報を抽出し、SMS メッセージを読み取って送信できます。これにより、ワンタイム パスワード (OTP) と 2 要素認証コードを傍受でき、最も一般的なセキュリティ ツールの 1 つを効果的にバイパスできます。
このマルウェアは認証情報を盗むことに限定されず、偽のロック画面を使用してデバイスの PIN、ロック解除パターン、またはパスワードを傍受することもあるので注意してください。テキスト メッセージや電話を制御し、セキュリティ警告をブロックし、詐欺信号を隠すことができます。
暗号通貨ウォレットのアドレスをコピーして貼り付けると、マルウェアはそれを攻撃者のものにサイレントに置き換え、取引金額全体を盗む可能性があります。
非表示を維持するために、Rokarolla はホーム画面からアイコンを非表示にし、デバイスをミュートし、Google Play プロテクトを無効にし、画面がスリープ状態になるのを防ぐことができます。
拡散方法: TikTok と Chrome の偽バージョン
ロカロラは無許可の Web サイトを通じて配布され、TikTok や Chrome などの人気アプリの偽造バージョンとして販売されます。これらのサイトは、公式の Google Play ストアにリンクするのではなく、ユーザーにアプリを直接ダウンロードするよう促します。これはサイドローディングとして知られるプロセスです。インストールされると、アプリは Google Play プロテクトになりすまし、悪意のあるペイロードをサイレントにダウンロードします。
アプリの操作に必要なアクセス権を取得するには、アクセシビリティ機能へのアクセス、SMS の読み取り、通知へのアクセスなど、幅広い権限が必要です。特にアプリがシステム コンポーネントとして表示される場合、経験の浅いユーザーには正当に見えるかもしれないリクエスト。
これらの脅威から身を守る方法
また、この場合、常に注意しているように、従うべきルールは少数ですが効果的です。Google Play ストアで入手可能なアプリはサイドローディング経由でインストールしないでください。 Google Play プロテクトまたはオペレーティング システム コンポーネントとして表示され、手動インストールが必要なアプリは悪意がある可能性が高く、これらのコンポーネントは手動でインストールされることはありません。
明らかにアクセシビリティ ツールではないアプリからのアクセシビリティ機能へのアクセス要求は、細心の注意を払って扱う必要があります。
リンクや Web サイトからダウンロードしたアプリに高度なアクセス許可を付与しないのは、一般的に良い習慣です。最後に、銀行アプリのログイン画面を注意深く調べることは常に価値があり、何かがおかしいと思われる場合、または複数の異常なログイン要求が表示された場合は、アプリを閉じて、公式アイコンから再度開くことが最善です。