- Zimperiumが新型Androidバンキング型トロイの木馬「Rokarolla」を発見、217件の銀行・暗号資産アプリを標的に
- 偽装サイト、サードパーティストア、SNSを通じて配布。ドロッパーはGoogle Play Protectに成りすます
- 不可視のオーバーレイで認証情報を詐取。自身を隠蔽しつつ、キーロギング・着信ブロック・画面録画などのスパイ機能も搭載
セキュリティ企業Zimperiumの研究者が、強力なAndroidバンキング型トロイの木馬「Rokarolla」を発見しました。このマルウェアは、200を超える銀行・暗号資産アプリからログイン認証情報をはじめとする重要情報を窃取する能力を持っています。
Rokarollaは、偽装された単独サイト、サードパーティのアプリストア、そしてSNSを通じて拡散されています。Google Playストアや公式のAndroidリポジトリでの発見はありませんでした。
これらの悪意あるサイトは、Google ChromeやTikTokのアプリを宣伝しています。しかし実際にダウンロードすると、まずAndroid標準のマルウェア対策ソリューションであるGoogle Play Protectに成りすましたドロッパーがインストールされます。このドロッパーが、マルウェアを仕込んだChromeやTikTokを提供する仕組みです。
Rokarollaの見分け方
インストール後、Rokarollaはほかのバンキング型トロイの木馬と同様の行動を取ります。まず幅広い権限を要求しますが、なかでもアクセシビリティサービスの権限は、マルウェアにおける典型的な危険信号です。
SMSや通話へのアクセス、通知へのアクセスなども、警戒すべき権限として挙げられます。
被害者がこれらの権限をすべて許可すると、Rokarollaはまずデバイスの情報を収集し、217件の銀行・暗号資産アプリのいずれかがインストールされていないかスキャンを行います。
その後、ユーザーがそれらのアプリを起動するたびに、Rokarollaは不可視のオーバーレイを表示し、ログイン認証情報はもちろん、PINコードやロック解除パターンも詐取します。このトロイの木馬は、検知を回避して潜伏し続けるための手口を多数持っています。偽のインストール画面の表示、アプリアイコンのアプリ一覧からの非表示、音声・バイブレーションの消音、画面の常時点灯維持などがその例です。
また、連絡先情報やWhatsAppの連絡先の抜き取り、キーストロークの記録、画面録画、着信のブロック、スクリーンショットの送信なども実行できます。
通常、Rokarollaのようなバンキング型トロイの木馬は、特定の地域や言語を標的にします。Zimperiumは、世界のどの地域が最もリスクにさらされているか、また感染者数についての情報を公表していません。Google PlayストアやGalaxy Storeなどの公式リポジトリのみからアプリをダウンロードしているユーザーには、感染リスクはありません。
