Le malware Rokarolla cible 217 applications bancaires, vole des codes PIN et des mots de passe

Une nouvelle application malveillante bancaire Android appelée Rokarolla cible 217 applications bancaires et de cryptomonnaies tout en offrant aux attaquants un contrôle étendu sur les appareils infectés, selon la société de cybersécurité mobile Zimperium. Le malware est conçu pour compromettre les applications financières et crypto en utilisant de fausses fenêtres qui s’affichent par-dessus les applications légitimes afin de voler les identifiants de déverrouillage de l’appareil et les informations bancaires. Rokarolla représente une menace croissante pour la sécurité du mobile banking alors que les cybercriminels ciblent de plus en plus les applications financières avec des attaques par superposition (overlay) sophistiquées.

Rokarolla se propage via de fausses applications TikTok et Chrome

Rokarolla est diffusée via des sites web malveillants qui se font passer pour des applications populaires telles que TikTok et Google Chrome, indique Zimperium. Le malware exploite cette méthode de distribution pour piéger les utilisateurs et les inciter à télécharger et installer le trojan sur leurs appareils Android.

Le malware vole des identifiants grâce à de fausses fenêtres overlay

Le malware peut voler les identifiants de déverrouillage de l’appareil, y compris les NIP, schémas et mots de passe, en affichant un faux écran de verrouillage Android. Les informations saisies dans le faux écran sont ensuite envoyées vers une infrastructure contrôlée par l’attaquant, selon Zimperium. Rokarolla peut aussi voler des identifiants bancaires et de cryptomonnaies lorsque les victimes ouvrent des applications financières ciblées. Une fois le malware identifié une application ciblée, il peut afficher une fausse page de connexion pour capturer des identifiants ou des informations de carte de crédit.

Rokarolla contient 137 commandes pour le contrôle de l’appareil

Zimperium indique que le malware contient 137 commandes qui permettent aux attaquants de contrôler les appareils infectés, de collecter des messages SMS, de voler des listes de contacts, d’enregistrer la saisie de l’utilisateur et de surveiller ce qui s’affiche à l’écran. Rokarolla peut aussi bloquer les appels entrants, couper le son de l’appareil et désactiver Google Play Protect, d’après le rapport. La société de cybersécurité affirme que le malware peut intercepter des messages SMS, envoyer des textos au nom des victimes et empêcher les utilisateurs de recevoir des alertes anti-fraude de la part des banques.

Le malware cible 217 applications bancaires et de cryptomonnaies

Zimperium affirme que Rokarolla cible plus de 200 applications financières, de cryptomonnaies et de réseaux sociaux, dont 217 applications distinctes de cryptomonnaies et de banque. La société indique que les fonctionnalités du malware sont conçues pour faciliter la fraude financière et empêcher les victimes d’interrompre l’activité malveillante sur les appareils infectés.

FAQ

Qu’est-ce que Rokarolla et combien d’applications cible-t-il ?

Rokarolla est un nouveau trojan bancaire Android qui cible 217 applications bancaires et de cryptomonnaies. Le malware est distribué via des sites web malveillants se faisant passer pour des applications populaires comme TikTok et Google Chrome, et utilise de fausses fenêtres overlay pour voler des identifiants sur les appareils infectés.

Comment Rokarolla vole-t-il les identifiants des utilisateurs ?

Rokarolla vole des identifiants en affichant de fausses fenêtres qui apparaissent au-dessus des applications légitimes. Le malware peut afficher un faux écran de verrouillage Android pour capturer les NIP, schémas et mots de passe, et peut afficher de fausses pages de connexion lorsque les victimes ouvrent des applications bancaires ou de cryptomonnaies ciblées afin de capturer des identifiants de connexion ou des informations de carte de crédit.

Quelles capacités de contrôle Rokarolla a-t-il sur les appareils infectés ?

Rokarolla contient 137 commandes qui permettent aux attaquants de contrôler les appareils infectés, de collecter des messages SMS, de voler des listes de contacts, d’enregistrer la saisie de l’utilisateur, de surveiller l’activité à l’écran, de bloquer les appels entrants, de couper le son de l’appareil, de désactiver Google Play Protect, d’intercepter des messages SMS, d’envoyer des textos au nom des victimes, et d’empêcher les utilisateurs de recevoir des alertes anti-fraude des banques.