Rokarolla Banking Trojan

サイバーセキュリティ研究者らは、コマンド＆コントロール（C2）インフラストラクチャにちなんで「Rokarolla」と名付けられた、新たなAndroidバンキング型トロイの木馬を発見した。このマルウェアは、幅広い金融サービスを標的とするように設計されており、217もの銀行および暗号通貨アプリケーションを攻撃する能力を持つ。137ものリモートコマンドを備えたRokarollaは、サイバー犯罪者に侵害されたデバイスに対する極めて高度な制御能力を提供する。

一度インストールされると、このマルウェアはロック画面の保護を解除したり、SMSメッセージを傍受して送信したり、クリップボードの内容を操作して暗号通貨の送金先を変更したり、さらにはGoogleの組み込みセキュリティ機構を無効にしたりすることができます。

偽のアプリケーションを通じた偽装配布

Rokarollaは主に、TikTokやGoogle Chromeなどの正規の人気アプリケーションを装った悪質なウェブサイトを通じて拡散されています。

被害者はまず、Google Play Protectを装ったドロッパーアプリをダウンロードします。このドロッパーは、信頼できるアプリを装うことで、ユーザーにアクセシビリティサービスへのアクセス許可を与えるよう促し、悪意のあるペイロードのインストールを容易にします。実行後、Rokarollaのコマンドの一つがPlay Protectを即座に無効化し、Androidの重要なセキュリティ層を一つ排除します。

認証情報を盗むことを目的としたオーバーレイ攻撃

認証情報の窃盗は、高度なオーバーレイ攻撃によって行われます。Rokarollaは、コマンドサーバーから標的となるアプリケーションのリストを取得し、それらのアプリケーションに対応する偽のHTMLログインページをダウンロードします。これらの偽のインターフェースはローカルに保存され、被害者が正規の銀行アプリケーションや暗号通貨アプリケーションを開くたびに表示されます。

偽の画面は、ユーザー名、パスワード、クレジットカード情報など、ユーザーが入力したすべての情報を盗み取るように設計されています。研究者たちは、銀行アプリ「imagin」を巧妙に模倣した例を一つ確認しました。

このマルウェアは、PIN、パターン、パスワードを収集できる偽のAndroidロック画面オーバーレイも展開します。この機能により、攻撃者はデバイスがロックされている状態でもアクセスと制御を維持できます。

認証情報窃盗、監視、金融詐欺を1つのパッケージで提供

Rokarollaは、データ収集と金銭的利益を最大化するために、複数の監視および窃盗メカニズムを組み合わせています。

• SMSの完全な監視機能とメッセージ送信機能により、銀行認証や取引承認に使用されるワンタイムパスコードの傍受が可能になります。
• このマルウェアは、自身をデバイスのデフォルトのメッセージングおよび通話アプリケーションとして設定することで、着信をブロックし、詐欺警告が被害者に届かないようにする可能性があります。

• 統合されたキーロギング機能とスクリーンログ機能はユーザーのアクティビティを記録し、連絡先や通知は継続的に収集されます。

• クリップボード操作によって、コピーされた仮想通貨ウォレットのアドレスが攻撃者によって制御されたアドレスに密かに置き換えられ、被害者の知らないうちに資金が不正に流用される。

ステルス監視技術は検知を回避する

MediaProjectionベースの画面録画に依存する多くのAndroidマルウェアとは異なり、Rokarollaはより静かな監視戦略を採用しています。目に見える録画通知をトリガーする代わりに、アクセシビリティサービスを介してスクリーンショットをキャプチャし、PNGファイルに圧縮して、個別にオペレーターに送信します。

この手法は、攻撃者にユーザーのアクティビティを詳細に把握させつつ、検出される可能性を低減します。HOOKやKlopatraなどのマルウェアファミリーが使用する隠しVNC実装と比較して、Rokarollaのスクリーンショットベースの監視は、よりシンプルで目立たない方法です。

強靭なインフラストラクチャと拡大するマルウェアの傾向

このマルウェアは、妨害工作に耐えられるように設計されています。複数のバックアップコマンド＆コントロールドメインがコードに組み込まれており、オペレーターは必要に応じて動的に追加サーバーを割り当てることができます。そのため、単一のコマンドサーバーを無効にしても、全体の運用への影響はほとんどありません。

その広範なコマンドセットは、以前にHOOKバンキングトロイの木馬で記録された107個のコマンドを上回っており、2026年を通して観察されたAndroidバンキングマルウェアの高度化を反映している。攻撃手法は、ますます一般的になっているおなじみのパターンに従っている。

• 偽のアプリケーションインストーラーを介した配布。
• アクセシビリティサービスを悪用して権限昇格やデバイス制御を行う。
• HTMLベースのオーバーレイを使用して、認証情報や機密情報を収集する。

防御策は依然として重要である

Rokarollaはソフトウェアの脆弱性ではなくマルウェアであるため、この脅威を排除できるセキュリティパッチは存在しません。対策は、確立されたAndroidのセキュリティ対策に従うことに依存します。

アプリケーションは公式のGoogle Playストアからのみインストールし、Google Play Protectは常に有効にしておく必要があります。また、アクセシビリティ権限への予期せぬ要求は重大な警告サインとして扱うべきです。アクセシビリティアクセスはRokarollaの攻撃チェーンの基盤であり、その最も危険な機能の多くを可能にしています。

出典は不明のまま

本稿執筆時点では、Rokarollaは公に特定された脅威アクターやサイバー犯罪グループとは関連付けられていない。しかしながら、その設計は、Play Protect、ロック画面の保護機能、その他の組み込みセキュリティ制御など、Androidユーザーが信頼を寄せるべき保護機能を意図的に回避しようとする意図的な試みを明確に示している。

このマルウェアの機能は、Androidバンキング型トロイの木馬の継続的な進化と、金銭目的のモバイル脅威の高度化を浮き彫りにしている。