Un nouveau cheval de Troie bancaire, dénommé Rokarolla, a été identifié par les chercheurs de Zimperium. Ce malware cible 217 applications bancaires et de cryptomonnaies, affichant de fausses pages de connexion pour subtiliser les identifiants des utilisateurs. Il se distingue par sa capacité à contrôler un smartphone à distance grâce à 137 commandes, même lorsque l’appareil est verrouillé.
Rokarolla se propage via des sites web malveillants qui imitent les pages de téléchargement officielles de Google Chrome ou de TikTok. Les utilisateurs, croyant installer une mise à jour, téléchargent en réalité un malware sur leur appareil Android. Ce processus débute par l’installation d’un « dropper », qui ne cause pas de dommages immédiats mais prépare le terrain pour le véritable logiciel malveillant.
À lire aussi : Cette cyberattaque chinoise a fait « des centaines de milliers de victimes » avec Gemini, Google contre-attaque
Comment Rokarolla s’installe sur votre smartphone ?
Une fois le leurre installé, le malware propose d’installer Chrome ou TikTok. Si l’utilisateur accepte, il télécharge une application factice qui dissimule le code de Rokarolla. Ce mécanisme en deux étapes permet de contourner les protections de sécurité de Google.
Lors de son lancement, Rokarolla demande des permissions d’accessibilité, ainsi que l’accès aux notifications, SMS et appels. Ces permissions, généralement accordées par l’utilisateur, permettent au malware d’interagir avec d’autres applications sur le téléphone. Ce détournement des paramètres d’accessibilité est une méthode courante utilisée par des malwares récents tels que Snowblind ou Perseus.
Une liste de 217 cibles
Rokarolla se connecte à des serveurs distants pour recevoir des instructions, y compris une liste de 217 applications bancaires et de cryptomonnaies. Cette liste comprend des établissements financiers du monde entier et des portefeuilles numériques. Les chercheurs soulignent que cette liste peut être mise à jour à tout moment par les cybercriminels.
Une fois la liste acquise, le malware télécharge une fausse page de connexion au format HTML pour chaque application ciblée, la stockant localement sur l’appareil. Lorsque la victime ouvre son application bancaire, Rokarolla superpose sa fausse page, trompant l’utilisateur qui pense se connecter à sa banque. Les informations saisies sont alors transmises aux serveurs des hackers, leur permettant d’accéder aux comptes bancaires et d’effectuer des virements frauduleux.
À lire aussi : 9 banques européennes sont dans le viseur d’un redoutable malware qui exploite le NFC de votre smartphone
Un arsenal complet et sophistiqué
Selon le rapport de Zimperium, Rokarolla dispose d’un arsenal de 137 commandes distinctes, permettant aux cybercriminels de contrôler l’appareil à distance avec une grande précision. Le malware peut voler les SMS, intercepter les codes d’authentification envoyés par SMS, extraire les contacts WhatsApp, enregistrer les frappes au clavier et espionner le contenu affiché à l’écran.
Rokarolla peut également agir lorsque le téléphone est verrouillé. En déployant un écran factice, il peut capturer le code de déverrouillage, permettant ainsi aux hackers de prendre le contrôle complet de l’appareil même lorsqu’il est dans la poche de la victime.
Pour rester indétectable, Rokarolla utilise diverses tactiques d’évasion, notamment la désactivation de Google Play Protect, le masquage de son icône, et la désactivation des sons et vibrations. Ces mes font de ce malware l’une des menaces les plus sophistiquées pour les smartphones Android.
« Rokarolla illustre une nouvelle génération de malwares mobiles capables d’orchestrer des fraudes financières sophistiquées, tout en conservant un contrôle quasi total de l’appareil compromis. Les approches de sécurité traditionnelles basées uniquement sur les signatures ne suffisent plus à détecter ce type de menace hautement dynamique et évolutive », déclare Nico Chiaraviglio, ingénieur chez Zimperium.
Rokarolla n’a pas été détecté sur le Google Play Store et se propage uniquement via des APK provenant de sites tiers. Pour se protéger, il est recommandé de s’en tenir aux applications disponibles sur la boutique de Google et d’être vigilant face aux demandes de permissions d’accessibilité des nouvelles applications.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :Zimperium
