Un nouveau cheval de Troie bancaire Android cible en ce moment même plus de 200 applications financières et crypto. Baptisé Rokarolla, il circule en dehors du Play Store, caché derrière de fausses installations de Chrome ou TikTok.
Télécharger Chrome ou TikTok depuis un site trouvé au hasard n’a jamais été une très bonne idée, et Rokarolla vient de le rappeler sans grande subtilité. Repéré par Zimperium, ce nouveau malware Android n’a pas été diffusé via le Google Play Store, mais distribué par des pages frauduleuses qui imitent des téléchargements d’applications populaires. Une fois installé, il abuse des autorisations les plus sensibles du système pour voler identifiants, codes, SMS et données bancaires.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Une fausse installation, puis un téléphone sous surveillance
D’après les chercheurs de Zimperium, Rokarolla circule via des sites malveillants qui prétendent proposer Google Chrome ou TikTok au téléchargement. L’application piégée joue ensuite le rôle de dropper et se fait passer pour Google Play Protect, l’outil de sécurité intégré à Android, afin d’inciter la victime à poursuivre l’installation.
Une fois lancé, le malware réclame des autorisations très sensibles, dont l’accès aux services d’accessibilité, aux notifications, aux SMS et aux appels. Il transmet aussi plusieurs informations techniques au serveur de commande, comme le modèle du téléphone, la version d’Android, la langue du système ou l’état de la batterie, afin d’identifier chaque appareil infecté.
Rokarolla vérifie alors la présence d’applications financières ou crypto parmi une liste de 217 services ciblés. Lorsqu’une application repérée est ouverte, il affiche une fenêtre de connexion par-dessus l’interface légitime pour récupérer les identifiants, les données de carte ou d’autres informations bancaires saisies par la victime.
La même technique peut servir à capturer le code PIN ou le schéma de déverrouillage du téléphone. Une fois ces accès récupérés, Rokarolla peut intervenir même lorsque l’appareil est verrouillé. Il peut aussi voler les SMS, enregistrer les frappes, extraire les contacts, manipuler le presse-papiers, prendre des captures d’écran, bloquer des appels entrants ou empêcher l’affichage d’alertes liées à une fraude bancaire.
Enfin, pour éviter d’être repéré trop vite, le malware peut masquer son icône, couper le son et les vibrations, maintenir l’écran allumé, afficher de faux écrans d’installation et tenter de désactiver Google Play Protect. Difficile de faire plus discret, donc.
Comment éviter de tomber dans le piège
La bonne nouvelle, si l’on peut dire, tient à son mode de diffusion. Rokarolla ne circule pas via le Play Store, mais sur des sites tiers permettant le téléchargement de fichiers APK. Pour une application populaire déjà disponible dans la boutique officielle, il n’y a aucune raison de récupérer un fichier d’installation au hasard sur le web, sauf à passer par le site officiel de l’éditeur lorsque celui-ci propose ou redirige lui-même vers un téléchargement Android.
Les autorisations exigées au lancement doivent aussi requérir toute votre attention. Un réseau social ou un navigateur peut demander l’accès aux notifications, mais il n’a pas besoin d’accéder aux services d’accessibilité, aux SMS ou aux appels pour fonctionner. Ces permissions ont des usages légitimes, notamment pour l’aide aux personnes en situation de handicap, mais elles donnent aussi à une application malveillante un pouvoir considérable sur l’interface du téléphone.
En cas de doute après une installation, il faut vérifier les applications récemment ajoutées, contrôler les autorisations d’accessibilité, lancer une analyse depuis Play Protect et supprimer toute application inconnue ou impossible à identifier.
