Rokarolla Banking Trojan
Cybersicherheitsforscher haben einen neuen Android-Banking-Trojaner namens Rokarolla entdeckt, benannt nach seiner Command-and-Control-Infrastruktur (C2). Die Schadsoftware zielt auf eine Vielzahl von Finanzdienstleistungen ab und kann 217 Banking- und Kryptowährungsanwendungen angreifen. Ausgestattet mit 137 Fernsteuerungsbefehlen ermöglicht Rokarolla Cyberkriminellen eine außergewöhnliche Kontrolle über kompromittierte Geräte.
Nach der Installation kann die Schadsoftware den Sperrbildschirmschutz entfernen, SMS-Nachrichten abfangen und versenden, den Inhalt der Zwischenablage manipulieren, um Kryptowährungstransfers umzuleiten, und sogar die in Google integrierten Sicherheitsmechanismen deaktivieren.
Inhaltsverzeichnis
Verschleierte Verbreitung durch gefälschte Anträge
Rokarolla wird hauptsächlich über bösartige Websites verbreitet, die sich als legitime und beliebte Anwendungen wie TikTok und Google Chrome ausgeben.
Opfer laden zunächst eine App herunter, die sich als Google Play Protect ausgibt. Durch Ausnutzung dieses vertrauenswürdigen Erscheinungsbilds verleitet die App die Nutzer dazu, Berechtigungen für den Bedienungshilfendienst zu erteilen und ermöglicht so die Installation der Schadsoftware. Nach der Ausführung deaktiviert einer der Befehle von Rokarolla sofort Play Protect und beseitigt damit eine wichtige Sicherheitsebene von Android.
Overlay-Angriffe zur Erlangung von Zugangsdaten
Der Diebstahl von Zugangsdaten erfolgt durch ausgeklügelte Overlay-Angriffe. Rokarolla ruft von seinem Command-Server eine Liste der Zielanwendungen ab und lädt gefälschte HTML-Anmeldeseiten herunter, die diesen Anwendungen entsprechen. Diese gefälschten Benutzeroberflächen werden lokal gespeichert und angezeigt, sobald ein Opfer eine legitime Banking- oder Kryptowährungsanwendung öffnet.
Die gefälschten Bildschirme sind so konzipiert, dass sie alle vom Benutzer eingegebenen Informationen erfassen, einschließlich Benutzernamen, Passwörter und Zahlungskartendaten. Forscher beobachteten ein Beispiel, das die Banking-Anwendung „imagin“ überzeugend imitierte.
Die Schadsoftware installiert außerdem eine gefälschte Android-Sperrbildschirm-Oberfläche, die PINs, Entsperrmuster und Passwörter auslesen kann. Dadurch behalten Angreifer auch dann Zugriff und Kontrolle, wenn das Gerät gesperrt ist.
Zugangsdatendiebstahl, Überwachung und Finanzbetrug in einem Paket
Rokarolla kombiniert mehrere Überwachungs- und Diebstahlmechanismen, um die Datenerfassung und den finanziellen Gewinn zu maximieren:
- Die vollständige SMS-Überwachung und die Möglichkeit zum Versenden von Nachrichten ermöglichen das Abfangen von Einmalpasswörtern, die zur Bankauthentifizierung und zur Genehmigung von Transaktionen verwendet werden.
- Indem sich die Malware als Standard-Messaging- und Anruf-Anwendung des Geräts einrichtet, kann sie eingehende Anrufe blockieren und so möglicherweise verhindern, dass Betrugswarnungen die Opfer erreichen.
Unauffällige Überwachungstechniken entgehen der Entdeckung
Im Gegensatz zu vielen Android-Malware-Familien, die auf MediaProjection-basierte Bildschirmaufzeichnung setzen, verfolgt Rokarolla eine unauffälligere Überwachungsstrategie. Anstatt sichtbare Aufzeichnungsbenachrichtigungen auszulösen, erstellt es Screenshots über die Bedienungshilfen, komprimiert diese in PNG-Dateien und übermittelt sie einzeln an seine Benutzer.
Dieser Ansatz verringert die Entdeckungswahrscheinlichkeit und ermöglicht Angreifern gleichzeitig einen detaillierten Einblick in die Benutzeraktivitäten. Im Vergleich zu versteckten VNC-Implementierungen, die von Malware-Familien wie HOOK und Klopatra verwendet werden, ist Rokarollas screenshotbasierte Überwachung sowohl einfacher als auch diskreter.
Resiliente Infrastruktur und ein sich ausbreitender Malware-Trend
Die Schadsoftware ist so konzipiert, dass sie Störungsversuchen standhält. Mehrere Backup-Befehls- und Kontrolldomänen sind im Code eingebettet, und die Bediener können bei Bedarf dynamisch zusätzliche Server zuweisen. Daher hat die Deaktivierung eines einzelnen Befehlsservers nur geringe Auswirkungen auf den Gesamtbetrieb.
Sein umfangreicher Befehlssatz übertrifft die 107 Befehle, die zuvor beim Banking-Trojaner HOOK dokumentiert wurden, und spiegelt die zunehmende Raffinesse von Android-Banking-Malware wider, die im Laufe des Jahres 2026 zu beobachten sein wird. Die Angriffsmethodik folgt einem bekannten Muster, das immer häufiger vorkommt:
- Verbreitung über gefälschte Anwendungsinstallationsprogramme.
- Missbrauch von Barrierefreiheitsdiensten zur Ausweitung von Berechtigungen und zur Gerätekontrolle.
- Verwendung von HTML-basierten Overlays zum Abgreifen von Zugangsdaten und sensiblen Informationen.
Defensive Maßnahmen bleiben entscheidend
Da es sich bei Rokarolla um Schadsoftware und nicht um eine Software-Schwachstelle handelt, gibt es keinen Sicherheitspatch, der die Bedrohung beseitigen kann. Der Schutz hängt von der Einhaltung etablierter Android-Sicherheitspraktiken ab.
Apps sollten ausschließlich aus dem offiziellen Google Play Store installiert werden, Google Play Protect sollte stets aktiviert bleiben, und jede unerwartete Anfrage nach Bedienungshilfen ist als ernstzunehmendes Warnsignal zu verstehen. Der Zugriff auf Bedienungshilfen bildet die Grundlage der Angriffskette von Rokarolla und ermöglicht viele seiner gefährlichsten Funktionen.
Die Urheberschaft ist weiterhin unbekannt.
Zum Zeitpunkt der Berichterstattung konnte Rokarolla noch keinem öffentlich bekannten Bedrohungsakteur oder einer Cyberkriminellengruppe zugeordnet werden. Dennoch zeigt das Design der App deutlich den bewussten Versuch, genau jene Schutzmechanismen zu umgehen, denen Android-Nutzer vertrauen sollen, darunter Play Protect, die Bildschirmsperre und andere integrierte Sicherheitsfunktionen.
Die Fähigkeiten der Schadsoftware verdeutlichen die kontinuierliche Weiterentwicklung von Android-Banking-Trojanern und die zunehmende Raffinesse finanziell motivierter mobiler Bedrohungen.
