Startsida Datorer & mjukvara Ny Android-trojan kapar bankappen via dold funktion: 217 appar i...

Ny Android-trojan kapar bankappen via dold funktion: 217 appar i riskzonen

Ny Android-trojan kapar bankappen via dold funktion: 217 appar i riskzonen
Levererat av Teksajten

En nyupptäckt Android-trojan missbrukar en inbyggd hjälpfunktion för att stjäla PIN-koder, lösenord och SMS-engångskoder från bankappar.

Skadeprogrammet kallas Rokarolla och riktar sig mot 217 bank- och kryptoappar världen över. Det upptäcktes av forskarna Vishnu Pratapagiri och Fernando Ortega vid säkerhetsföretaget Zimperiums forskningsteam zLabs, som publicerade sin analys den 16 juni 2026.

Trojanen ger angriparen fullständig kontroll över den infekterade telefonen via ett bibliotek på 137 kommandon, som täcker allt från falska inloggningsskärmar till SMS-avlyssning och blockering av inkommande samtal.

Distribueras som falsk TikTok eller Chrome

Rokarolla sprids inte via Google Play. I stället lockas offer till skadliga webbplatser som erbjuder gratisversioner av populära appar som TikTok eller Google Chrome, en installationsmetod som kallas sidoladdning.

När användaren installerar APK-filen ger sig appen ut för att vara Google Play Protect, Androids egen inbyggda skyddsfunktion. Under den förklädnaden ber den om åtkomst till Androids tillgänglighetstjänst tillsammans med rättigheter till SMS och aviseringar, och när användaren godkänner installeras själva trojanen tyst i bakgrunden, uppger Help Net Security.

Tillgänglighetstjänsten är nyckeln

Tillgänglighetstjänsten är en funktion i Android som från början byggts för att hjälpa personer med syn- eller motorisk nedsättning, exempelvis genom att låta telefonen läsa upp text eller trycka på knappar åt användaren. Den app som får åtkomst till tjänsten kan se allt som visas på skärmen och styra gränssnittet i andra appar.

Just den kombinationen gör tjänsten ovärderlig för en banktrojan. Rokarolla använder tillgänglighetstjänsten för att övervaka vilken app som är aktiv, och när användaren öppnar en bankapp lägger trojanen ett falskt inloggningsfönster ovanpå den riktiga skärmen. En inbyggd tangentloggning registrerar allt som skrivs, och trojanen läser även av inkommande SMS för att fånga engångskoder från banken.

Skadeprogrammet kan även manipulera innehållet i urklipp och byta ut kopierade kryptovaluta-plånboksadresser mot angriparens egna, så att en överföring landar på fel konto utan att avsändaren märker något.

Stänger av Play Protect och tystar aviseringar

För att göra sig svårare att upptäcka stänger Rokarolla av Google Play Protect, döljer sin app-ikon, tystar ljud och vibrationer samt håller skärmen tänd så att varningar från banken inte visas som popup, enligt BleepingComputer.

En talesperson för Google säger att den inbyggda skyddsfunktionen räcker mot kända versioner av skadeprogrammet: ”Android-användare skyddas automatiskt mot kända versioner av det här skadeprogrammet genom Google Play Protect, som är på som standard”, uppger företaget till BleepingComputer.

Så skyddar du dig

Rokarolla har inte hittats i själva Play-butiken, utan bygger helt på att offer lockas installera appar från externa webbplatser. Det ger tre konkreta försiktighetsåtgärder för privatanvändare:

– Installera aldrig APK-filer från webbplatser utanför Google Play. Är en app inte tillgänglig i den officiella butiken, avstå. – Ge aldrig tillgänglighetstillstånd till en app som inte har en uppenbar anledning att behöva det. Bank-, betal- och strömningsappar behöver det inte. – Gå in i Inställningar och sedan Tillgänglighet, och kontrollera vilka appar som redan har tillstånd. Alla appar där du inte känner till anledningen bör avinstalleras direkt.

Ads by MGDK