bytedaily - Melansir laporan dari cnnindonesia.com, sebuah malware perbankan jenis trojan baru yang dinamai Rokarolla telah teridentifikasi mampu menyusup ke perangkat Android dengan menyamar sebagai aplikasi populer seperti TikTok atau Google Chrome. Malware ini dirancang untuk mencuri informasi kredensial dari 217 aplikasi perbankan dan aset kripto, serta mengambil alih kendali penuh atas perangkat korban.
Peneliti keamanan siber dari Zimperium zLabs melaporkan bahwa nama Rokarolla berasal dari infrastruktur komando dan kontrol (C2) yang digunakan oleh para pelaku. Penyebaran malware ini dilakukan melalui situs web berbahaya yang menawarkan unduhan aplikasi palsu dari layanan populer. Setelah korban mengunduh dan menginstal aplikasi tersebut, muatan berbahaya yang berisi inti malware akan terpasang.
Selama proses instalasi, Rokarolla akan berpura-pura sebagai Google Play Protect untuk memanipulasi korban agar memberikan izin akses Layanan Aksesibilitas (Accessibility Services) Android. Izin ini sangat krusial karena memungkinkan malware membaca konten layar, meniru interaksi pengguna, dan menjalankan perintah secara otomatis.
Malware ini dibekali dengan 137 perintah yang memberikan kendali hampir penuh atas perangkat. Salah satu fungsi paling berbahaya adalah pencurian kredensial kunci layar. Rokarolla menampilkan layar kunci palsu yang identik dengan layar kunci asli Android. Ketika korban memasukkan PIN, pola, atau kata sandi, data tersebut akan langsung dikirim ke server penyerang, memungkinkan pelaku mengakses perangkat bahkan saat terkunci.
Selain itu, Rokarolla juga dilaporkan secara aktif menonaktifkan Google Play Protect, lapisan keamanan bawaan Android. Malware ini juga memastikan layar perangkat tetap menyala agar proses penipuan yang berjalan di latar belakang tidak terganggu oleh penguncian layar otomatis. Untuk menjaga agar tetap aktif dan sulit dideteksi, Rokarolla menggunakan beberapa domain cadangan dan mampu memperbarui server C2-nya secara dinamis melalui perintah jarak jauh.
