Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Troià bancari Rokarolla

Troià bancari Rokarolla

El Mezo el Programari maliciós mòbil, Troià bancari
Traduir a:

Investigadors de ciberseguretat han identificat un nou troià bancari per a Android conegut com a Rokarolla, que rep el nom de la seva infraestructura de comandament i control (C2). El programari maliciós està dissenyat per atacar una àmplia gamma de serveis financers, amb la capacitat d'atacar 217 aplicacions bancàries i de criptomoneda. Equipat amb 137 comandaments remots, Rokarolla proporciona als ciberdelinqüents un nivell excepcional de control sobre els dispositius compromesos.

Un cop instal·lat, el programari maliciós pot eliminar les proteccions de bloqueig de pantalla, interceptar i enviar missatges SMS, manipular el contingut del porta-retalls per redirigir les transferències de criptomoneda i fins i tot desactivar els mecanismes de seguretat integrats de Google.

Distribució encoberta a través d’aplicacions falses

Rokarolla es distribueix principalment a través de llocs web maliciosos que es fan passar per aplicacions legítimes i populars, com ara TikTok i Google Chrome.

Inicialment, les víctimes descarreguen una aplicació que suplanta Google Play Protect. Aprofitant aquesta aparença de confiança, l'aplicació persuadeix els usuaris perquè concedeixin permisos al Servei d'Accessibilitat i facilita la instal·lació de la càrrega útil maliciosa. Després de l'execució, una de les ordres de Rokarolla desactiva immediatament Play Protect, eliminant una capa important de seguretat d'Android.

Atacs de superposició dissenyats per robar credencials

El robatori de credencials es duu a terme mitjançant atacs superposats sofisticats. Rokarolla recupera una llista d'aplicacions dirigides del seu servidor de comandaments i descarrega pàgines d'inici de sessió HTML fraudulentes corresponents a aquestes aplicacions. Aquestes interfícies falsificades s'emmagatzemen localment i es mostren cada vegada que una víctima obre una aplicació bancària o de criptomoneda legítima.

Les pantalles falses estan dissenyades per capturar tota la informació introduïda per l'usuari, inclosos els noms d'usuari, les contrasenyes i les dades de la targeta de pagament. Els investigadors van observar un exemple que imitava de manera convincent l'aplicació bancària "imagin".

El programari maliciós també implementa una superposició falsa a la pantalla de bloqueig d'Android capaç de recopilar PIN, patrons i contrasenyes. Aquesta capacitat permet als atacants mantenir l'accés i el control fins i tot quan el dispositiu està bloquejat.

Robatori de credencials, vigilància i frau financer en un sol paquet

Rokarolla combina múltiples mecanismes de vigilància i robatori per maximitzar la recopilació de dades i els guanys financers:

  • Les capacitats completes de monitorització d'SMS i enviament de missatges permeten la intercepció de codis d'accés d'un sol ús utilitzats per a l'autenticació bancària i l'aprovació de transaccions.
  • En assignar-se a si mateix com a aplicació de missatgeria i trucades predeterminada del dispositiu, el programari maliciós pot bloquejar les trucades entrants, cosa que podria impedir que els avisos de frau arribin a les víctimes.
  • Les funcions integrades de registre de tecles i pantalla capturen l'activitat de l'usuari, mentre que els contactes i les notificacions es recopilen contínuament.
  • La manipulació del porta-retalls substitueix silenciosament les adreces copiades de les carteres de criptomonedes per adreces controlades per l'atacant, desviant fons sense el coneixement de la víctima.

Tècniques de monitorització furtiva que evadeixen la detecció

A diferència de moltes famílies de programari maliciós per a Android que es basen en l'enregistrament de pantalla basat en MediaProjection, Rokarolla adopta una estratègia de vigilància més silenciosa. En lloc d'activar notificacions d'enregistrament visibles, captura captures de pantalla a través dels Serveis d'Accessibilitat, les comprimeix en fitxers PNG i les transmet individualment als seus operadors.

Aquest enfocament redueix la probabilitat de detecció alhora que proporciona als atacants una vista detallada de l'activitat dels usuaris. En comparació amb les implementacions ocultes de VNC utilitzades per famílies de programari maliciós com HOOK i Klopatra, la monitorització basada en captures de pantalla de Rokarolla és més senzilla i discreta.

Infraestructura resilient i una tendència creixent de programari maliciós

El programari maliciós està dissenyat per resistir els esforços de disrupció. Diversos dominis de comandament i control de còpia de seguretat estan integrats dins del codi i els operadors poden assignar dinàmicament servidors addicionals sempre que sigui necessari. Com a resultat, la desactivació d'un únic servidor de comandaments té poc impacte en el funcionament general.

El seu extens conjunt d'ordres supera les 107 ordres documentades anteriorment al troià bancari HOOK, cosa que reflecteix la creixent sofisticació del programari maliciós bancari per a Android observat al llarg del 2026. La metodologia d'atac segueix un patró familiar que s'ha tornat cada cop més comú:

  • Distribució a través d'instal·ladors d'aplicacions falsos.
  • Abús dels Serveis d'Accessibilitat per a l'escalada de privilegis i el control de dispositius.
  • Ús de superposicions basades en HTML per recopilar credencials i informació confidencial.

Les mesures defensives continuen sent crítiques

Com que Rokarolla és programari maliciós en lloc d'una vulnerabilitat de programari, no hi ha cap pegat de seguretat capaç d'eliminar l'amenaça. La protecció depèn de seguir les pràctiques de seguretat establertes d'Android.

Les aplicacions només s'han d'instal·lar des de la botiga oficial de Google Play, Google Play Protect ha de romandre activat en tot moment i qualsevol sol·licitud inesperada de permisos d'accessibilitat s'ha de tractar com un senyal d'advertència important. L'accés a l'accessibilitat serveix com a base de la cadena d'atac de Rokarolla i habilita moltes de les seves capacitats més perilloses.

Atribució desconeguda

En el moment d'aquesta notícia, Rokarolla no s'ha vinculat a cap actor d'amenaces ni grup ciberdelinqüent identificat públicament. No obstant això, el seu disseny demostra clarament un esforç deliberat per eludir les mateixes proteccions en què s'anima els usuaris d'Android a confiar, com ara Play Protect, les salvaguardes de la pantalla de bloqueig i altres controls de seguretat integrats.

Les capacitats del programari maliciós destaquen l'evolució contínua dels troians bancaris d'Android i la creixent sofisticació de les amenaces mòbils amb motivació financera.

Carregant...