Il malware Android Rokarolla sta attirando l’attenzione degli esperti di sicurezza per la sua capacità di colpire in modo mirato app bancarie e portafogli di criptovalute. Questa minaccia si comporta come un vero banking trojan di nuova generazione e punta a ottenere un controllo quasi totale sul dispositivo infetto.
Secondo le analisi, Rokarolla prende di mira oltre duecento applicazioni tra banking e crypto e mette a disposizione degli attaccanti un ampio set di comandi remoti, utili per rubare credenziali, codici di conferma e fondi digitali.
La diffusione avviene tramite siti web malevoli che imitano applicazioni popolari come TikTok o Chrome, inducendo l’utente a scaricare un file infetto. Il primo componente installato è un dropper, cioè un installatore mascherato, che si presenta come Google Play Protect per guadagnare fiducia. Questa finta interfaccia serve a ottenere permessi critici, in particolare quelli di Accessibilità, che permettono al malware di osservare e controllare numerose funzioni del telefono. Una volta attivo, Rokarolla può anche disattivare Play Protect, riducendo le difese integrate di Android.
Il furto dei dati avviene spesso tramite overlay, ovvero schermate sovrapposte alle app reali. Il malware scarica pagine di login false in HTML e le mostra quando la vittima apre la vera app bancaria o la app del wallet. In questo modo cattura tutto ciò che viene digitato, incluse credenziali e dati di pagamento. Un altro overlay può imitare la schermata di blocco per rubare PIN, sequenze o password, aumentando la possibilità di controllo anche a schermo bloccato.
Rokarolla legge tutti gli SMS e può inviarli, rendendo possibile intercettare codici OTP usati per autenticazione e autorizzazione delle transazioni. Inoltre può impostarsi come app predefinita per messaggi e chiamate e persino bloccare chiamate in ingresso, evitando che eventuali avvisi della banca raggiungano la vittima. Tra le funzioni più pericolose c’è la modifica silenziosa degli appunti, sostituendo indirizzi di wallet copiati con quelli degli attaccanti per dirottare pagamenti in criptovalute. Il malware include anche keylogger e screen logger, raccoglie contatti e notifiche e realizza screenshot tramite Accessibilità, evitando avvisi visibili di registrazione schermo.
La protezione passa da buone pratiche: installare app solo dal Google Play Store, mantenere attivo Play Protect e diffidare di richieste improvvise di permessi di Accessibilità, spesso centrali nelle campagne di malware Android.