برمجية جديدة باسم Rokarolla تستهدف تطبيقات البنوك والعملات المشفّرة على أندرويد » مركز الأمن السيبراني للأبحاث والدراسات CCRS

وثّق باحثو Zimperium zLabs برمجية خبيثة جديدة لأندرويد تحمل اسم Rokarolla، تستهدف أكثر من 217 تطبيقًا مصرفيًا ومشفّريًا، وتحتوي على 137 أمرًا عن بُعد تمنح المهاجمين سيطرة شبه كاملة على الهاتف المصاب.
من أبرز قدراتها:

سرقة رموز القفل (PIN) وكلمات المرور والنقوش.
قراءة وإرسال الرسائل النصية (SMS) بما في ذلك رموز التحقق لمرة واحدة.
تعطيل خدمة Google Play Protect.
إعادة كتابة الحافظة (Clipboard) لتحويل مدفوعات العملات المشفّرة إلى محافظ المهاجمين.

أسلوب الانتشار والخداع

تنتشر Rokarolla عبر مواقع خبيثة تتظاهر بأنها تطبيقات شهيرة مثل TikTok وChrome. يبدأ الضحية بتنزيل “Dropper” يتظاهر بأنه Google Play Protect، ليحصل على صلاحيات الوصول عبر Accessibility، ثم يقوم بتثبيت الحمولة الخبيثة. أحد أوامر البرمجية يقوم مباشرة بإيقاف Play Protect، ما يترك الجهاز مكشوفًا.

آلية سرقة البيانات

صفحات تسجيل دخول مزيفة: تسحب البرمجية قائمة التطبيقات المستهدفة من خادمها، وتعرض صفحة HTML مزيفة فوق التطبيق الحقيقي لسرقة بيانات الدخول وبطاقات الدفع.
تقليد شاشة القفل: تعرض شاشة قفل مزيفة لالتقاط رمز PIN أو النمط أو كلمة المرور.
اعتراض الرسائل والمكالمات: تجعل نفسها التطبيق الافتراضي للرسائل والمكالمات، ما يمكّنها من اعتراض رموز التحقق ومنع وصول مكالمات تحذيرية من البنوك.
تسجيل الأنشطة: تحتوي على Keylogger وScreen Logger لتسجيل ما يكتبه المستخدم وما يظهر على الشاشة، إضافة إلى جمع جهات الاتصال والإشعارات.
التقاط صور الشاشة: تستخدم صلاحيات Accessibility لالتقاط صور شاشة مضغوطة بصيغة PNG وإرسالها للخادم، بدلًا من تقنيات البث المباشر التي قد تكشف وجود تسجيل.

البنية التحتية للاتصال

تحمل البرمجية عدة نطاقات بديلة لخوادم التحكم (C2) يمكن تحديثها ديناميكيًا، ما يجعل تعطيل خادم واحد غير كافٍ. عدد أوامرها (137) يتجاوز ما رُصد في برمجيات مشابهة مثل HOOK، ما يعكس تطورًا في قدرات عائلات التروجانات المصرفية لعام 2026.