Zimperiumの研究者によると、「Rokarolla」と名付けられた新たなAndroidバンキングトロイの木馬が発見されました。このマルウェアは217種類の銀行・暗号資産アプリを標的とし、感染デバイス上で137種類のコマンドを実行できます。
Rokarollaという名称はC2(コマンド&コントロール)インフラに由来しています。主にTikTokやGoogle Chromeなどの人気アプリを装った悪意あるウェブサイトを通じて配布され、正規アプリに見せかけたファイルをユーザーにダウンロードさせます。
正規アプリを偽装し、アクセシビリティサービスへのアクセスを要求するバンキングマルウェア(出典:Zimperium)
Zimperiumによると、Rokarollaは金融情報の窃取と、感染デバイスへの広範な制御権の取得を目的として設計されています。
「悪意ある機能としては、ロック画面の認証情報の収集、連絡先リストやSMSデータなどの機密情報の窃取、キーロガーによるユーザー入力の継続的な記録などが挙げられます」と研究者らは述べています。
「さらにこのトロイの木馬は、着信のブロック、不正なスクリーンオーバーレイの表示、デバイスの音声ミュート、Google Play Protectの無効化によって、自身の動作を隠蔽しユーザーの介入を妨害します。」
攻撃はGoogleのAndroidセキュリティサービスであるGoogle Play Protectを装ったドロッパーから始まります。インストールされると、Rokarollaマルウェアを含む第2段階のペイロードを送り込みます。
デバイス上で起動されると、RokarollaはAndroidアクセシビリティサービスへのアクセスと、通知およびSMSメッセージへの権限を要求します。
フィッシングオーバーレイを用いた金融データの窃取
その後マルウェアは、感染デバイスにターゲットリストの217種類の銀行・暗号資産アプリがインストールされていないかを確認します。対象アプリを発見すると、Rokarollaはフィッシングページをダウンロードし、被害者が正規アプリを開いた際にオーバーレイとして表示することで、認証情報やクレジットカード情報などの金融データを収集します。
Imagin銀行を装った偽オーバーレイ(出典:Zimperium)
RokarollaはC2インフラとデータをやり取りし、デバイス情報、Androidバージョン、ロケール、バッテリー状態、使用可能なストレージ容量を送信します。Zimperiumによると、これらの情報は感染デバイスごとに一意のbotIDを生成するために使用されます。
マルウェアはオペレーターからコマンドを受信し、リモート設定によって代替C2ドメインへ切り替えることも可能です。研究者らは感染デバイスの制御に使用される137種類のコマンドを特定しました。
SMS傍受とデバイス監視機能
「このマルウェアは感染デバイスからすべてのSMSメッセージを窃取する機能を持つほか、被害者に成り済ましてSMSを送信することも可能です。これにより、銀行のワンタイムパスワード(OTP)などの機密情報の傍受に悪用される恐れがあります」と研究者らは述べています。
Rokarollaはスクリーンに表示されたテキストを抽出し、メッセージングアプリから情報を収集することもできます。研究者らは、ユーザーの操作なしにクリップボードの内容を改ざんできることも確認しました。この機能は、暗号資産ウォレットのアドレスやその他のコピーされたデータを別のものに置き換えるために悪用される可能性があります。
Rokarollaは継続的な画面ストリーミングに頼る代わりに、定期的に感染デバイスのスクリーンショットを撮影してオペレーターに送信します。これにより、ユーザーの活動や画面上の情報を把握することができます。
また、電話の着信をブロック・傍受する機能も備えており、攻撃者は銀行からの不正警告やその他のセキュリティ関連の通知を妨害することができます。
「こうした視覚的な隠蔽を補完するように、マルウェアはデバイスのすべての音声と振動をミュートする機能を持ち、不正活動中は完全に無音状態で動作することが可能です」と研究者らは付け加えています。
ZimperiumはGitHubのページに侵害の痕跡(IoC)リストを公開しました。また、Rokarolla攻撃チェーンに関連するMITRE ATT&CKの戦術・技術の完全なリストも掲載しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/17/rokarolla-android-banking-trojan-device-takeover/
