Cheval de Troie bancaire Rokarolla

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire

Se traduisent par :

Des chercheurs en cybersécurité ont identifié un nouveau cheval de Troie bancaire pour Android, baptisé Rokarolla en référence à son infrastructure de commande et de contrôle (C2). Ce logiciel malveillant cible un large éventail de services financiers et peut attaquer 217 applications bancaires et de cryptomonnaies. Doté de 137 commandes à distance, Rokarolla offre aux cybercriminels un contrôle exceptionnel sur les appareils compromis.

Une fois installé, ce logiciel malveillant peut supprimer les protections de l'écran de verrouillage, intercepter et envoyer des SMS, manipuler le contenu du presse-papiers pour rediriger les transferts de cryptomonnaie, et même désactiver les mécanismes de sécurité intégrés de Google.

Table des matières

Distribution dissimulée via de fausses applications

Rokarolla est principalement distribué via des sites web malveillants se faisant passer pour des applications légitimes et populaires, notamment TikTok et Google Chrome.

Les victimes téléchargent d'abord une application d'installation qui imite Google Play Protect. Profitant de cette apparence de confiance, cette application persuade les utilisateurs d'accorder les autorisations du service d'accessibilité et facilite l'installation d'un code malveillant. Après son exécution, une commande de Rokarolla désactive immédiatement Play Protect, supprimant ainsi une couche importante de la sécurité d'Android.

Attaques par superposition conçues pour voler des identifiants

Le vol d'identifiants est perpétré grâce à des attaques par superposition sophistiquées. Rokarolla récupère une liste d'applications ciblées depuis son serveur de commande et télécharge des pages de connexion HTML frauduleuses correspondant à ces applications. Ces interfaces contrefaites sont stockées localement et s'affichent dès qu'une victime ouvre une application bancaire ou de cryptomonnaie légitime.

Ces faux écrans sont conçus pour capturer toutes les informations saisies par l'utilisateur, y compris les noms d'utilisateur, les mots de passe et les détails des cartes de paiement. Les chercheurs ont observé un exemple qui imitait de manière convaincante l'application bancaire « imagin ».

Le logiciel malveillant déploie également une superposition d'écran de verrouillage Android contrefaite capable de récupérer les codes PIN, les schémas et les mots de passe. Cette fonctionnalité permet aux attaquants de conserver l'accès et le contrôle même lorsque l'appareil est verrouillé.

Vol d’identifiants, surveillance et fraude financière dans un seul package

Rokarolla combine de multiples mécanismes de surveillance et de vol pour maximiser la collecte de données et les gains financiers :

La surveillance complète des SMS et les capacités d'envoi de messages permettent l'interception des codes d'accès à usage unique utilisés pour l'authentification bancaire et l'approbation des transactions.
En s'imposant comme application de messagerie et d'appel par défaut de l'appareil, le logiciel malveillant peut bloquer les appels entrants, empêchant potentiellement les alertes de fraude d'atteindre les victimes.

Les fonctions intégrées d'enregistrement des frappes au clavier et de l'écran capturent l'activité de l'utilisateur, tandis que les contacts et les notifications sont collectés en continu.

La manipulation du presse-papiers remplace silencieusement les adresses de portefeuilles de cryptomonnaies copiées par des adresses contrôlées par l'attaquant, détournant ainsi des fonds à l'insu de la victime.

Les techniques de surveillance furtives échappent à la détection

Contrairement à de nombreuses familles de logiciels malveillants Android qui utilisent l'enregistrement d'écran via MediaProjection, Rokarolla adopte une stratégie de surveillance plus discrète. Au lieu de déclencher des notifications d'enregistrement visibles, il capture des captures d'écran via les services d'accessibilité, les compresse au format PNG et les transmet individuellement à ses opérateurs.

Cette approche réduit les risques de détection tout en offrant aux attaquants une vue détaillée de l'activité des utilisateurs. Comparée aux implémentations VNC cachées utilisées par des familles de logiciels malveillants comme HOOK et Klopatra, la surveillance par capture d'écran de Rokarolla est à la fois plus simple et plus discrète.

Infrastructures résilientes et tendance croissante des logiciels malveillants

Le logiciel malveillant est conçu pour résister aux tentatives de perturbation. Plusieurs domaines de commande et de contrôle de secours sont intégrés au code, et les opérateurs peuvent affecter dynamiquement des serveurs supplémentaires en cas de besoin. Par conséquent, la désactivation d'un seul serveur de commande a peu d'impact sur le fonctionnement global.

Son ensemble de commandes étendu dépasse les 107 commandes précédemment documentées dans le cheval de Troie bancaire HOOK, reflétant la sophistication croissante des logiciels malveillants bancaires Android observée tout au long de l'année 2026. La méthodologie d'attaque suit un schéma familier qui est devenu de plus en plus courant :

Distribution via de faux installateurs d'applications.
Utilisation abusive des services d'accessibilité pour l'élévation de privilèges et le contrôle des appareils.
Utilisation de superpositions HTML pour collecter des identifiants et des informations sensibles.

Les mesures défensives restent essentielles

Rokarolla étant un logiciel malveillant et non une vulnérabilité logicielle, aucun correctif de sécurité ne permet d'éliminer la menace. La protection repose sur le respect des bonnes pratiques de sécurité Android.

Les applications doivent être installées uniquement depuis le Google Play Store officiel, Google Play Protect doit rester activé en permanence et toute demande inattendue d'autorisation d'accessibilité doit être considérée comme un signal d'alarme important. L'accès à l'accessibilité est au cœur de la chaîne d'attaque de Rokarolla et permet d'exploiter bon nombre de ses fonctionnalités les plus dangereuses.

L’attribution reste inconnue

Au moment de la rédaction de ce rapport, Rokarolla n'a été associé à aucun acteur malveillant ou groupe cybercriminel identifié publiquement. Néanmoins, sa conception révèle clairement une volonté délibérée de contourner les protections auxquelles les utilisateurs d'Android sont censés faire confiance, notamment Play Protect, les protections de l'écran de verrouillage et autres contrôles de sécurité intégrés.

Les capacités de ce logiciel malveillant mettent en évidence l'évolution constante des chevaux de Troie bancaires Android et la sophistication croissante des menaces mobiles à motivation financière.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Cheval de Troie bancaire Rokarolla

Distribution dissimulée via de fausses applications

Attaques par superposition conçues pour voler des identifiants

Vol d’identifiants, surveillance et fraude financière dans un seul package

Les techniques de surveillance furtives échappent à la détection

Infrastructures résilientes et tendance croissante des logiciels malveillants

Les mesures défensives restent essentielles

L’attribution reste inconnue

Soumettre un Commentaire

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran