Nieuwe Android-malware viseert bank- en crypto-apps

Cybersecurityonderzoekers hebben een nieuwe Android-trojan ontdekt die een ernstige bedreiging vormt voor gebruikers van bank- en cryptotoepassingen. De malware, genaamd Rokarolla, richt zich op honderden financiële apps en kan vrijwel volledige controle over een besmet toestel verkrijgen.  

Rokarolla verspreidt zich via frauduleuze websites die bekende applicaties zoals Chrome of TikTok nabootsen. Gebruikers denken een legitieme app te downloaden, maar installeren in werkelijkheid een zogenoemde dropper die de malware binnenhaalt. Deze software doet zich vervolgens voor als een beveiligingscomponent van Android en vraagt uitgebreide rechten aan, waaronder toegang tot toegankelijkheidsfuncties, sms-berichten en meldingen.  

Zodra de benodigde toestemmingen zijn verleend, schakelt de malware beveiligingsmechanismen uit en wordt detectie aanzienlijk moeilijker.  

De malware controleert eerst welke bank- en crypto-apps op het toestel aanwezig zijn. Vervolgens haalt zij specifieke phishingmodules binnen die zijn afgestemd op die apps. Wanneer een slachtoffer een financiële applicatie opent, verschijnt een overtuigende nep-inlogpagina boven op de echte app. Gebruikers die daar hun gegevens invoeren, geven hun wachtwoorden, pincodes en andere gevoelige informatie rechtstreeks door aan de aanvallers.  

Daarnaast kan Rokarolla ook een vals vergrendelscherm tonen om ontgrendelcodes of patronen te stelen. Daarmee behouden criminelen toegang tot het toestel, zelfs wanneer het scherm vergrendeld is.