Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Trojan bancario Rokarolla

Trojan bancario Rokarolla

Entro Mezo nel Malware per dispositivi mobili, Trojan bancario
Traduci in:

I ricercatori di sicurezza informatica hanno identificato un nuovo trojan bancario per Android noto come Rokarolla, dal nome della sua infrastruttura di comando e controllo (C2). Il malware è progettato per colpire una vasta gamma di servizi finanziari, con la capacità di attaccare 217 applicazioni bancarie e di criptovalute. Dotato di 137 comandi remoti, Rokarolla offre ai criminali informatici un livello eccezionale di controllo sui dispositivi compromessi.

Una volta installato, il malware può rimuovere le protezioni della schermata di blocco, intercettare e inviare messaggi SMS, manipolare il contenuto degli appunti per reindirizzare i trasferimenti di criptovalute e persino disabilitare i meccanismi di sicurezza integrati di Google.

Distribuzione mascherata tramite applicazioni false

Rokarolla viene distribuito principalmente tramite siti web dannosi che si spacciano per applicazioni legittime e popolari, tra cui TikTok e Google Chrome.

Le vittime inizialmente scaricano un'applicazione dropper che si spaccia per Google Play Protect. Sfruttando questa apparenza di affidabilità, il dropper convince gli utenti a concedere le autorizzazioni per i Servizi di accessibilità e facilita l'installazione del payload dannoso. Dopo l'esecuzione, uno dei comandi di Rokarolla disabilita immediatamente Play Protect, eliminando un importante livello di sicurezza di Android.

Attacchi di tipo overlay progettati per rubare le credenziali

Il furto di credenziali viene effettuato tramite sofisticati attacchi di tipo overlay. Rokarolla recupera un elenco di applicazioni target dal suo server di comando e scarica pagine di login HTML fraudolente corrispondenti a tali applicazioni. Queste interfacce contraffatte vengono memorizzate localmente e visualizzate ogni volta che la vittima apre un'applicazione bancaria o di criptovaluta legittima.

Le schermate false sono progettate per acquisire tutte le informazioni inserite dall'utente, inclusi nomi utente, password e dati della carta di pagamento. I ricercatori hanno osservato un esempio che imitava in modo convincente l'applicazione bancaria "imagin".

Il malware installa anche una falsa schermata di blocco Android sovrapposta, in grado di carpire PIN, sequenze e password. Questa funzionalità consente agli aggressori di mantenere l'accesso e il controllo anche quando il dispositivo è bloccato.

Furto di credenziali, sorveglianza e frode finanziaria in un unico pacchetto.

Rokarolla combina molteplici meccanismi di sorveglianza e furto per massimizzare la raccolta di dati e il guadagno finanziario:

  • Le funzionalità complete di monitoraggio e invio di SMS consentono l'intercettazione dei codici monouso utilizzati per l'autenticazione bancaria e l'approvazione delle transazioni.
  • Impostandosi come applicazione predefinita per messaggi e chiamate del dispositivo, il malware può bloccare le chiamate in entrata, impedendo potenzialmente che gli avvisi di frode raggiungano le vittime.
  • Le funzioni integrate di registrazione della tastiera e dello schermo catturano l'attività dell'utente, mentre i contatti e le notifiche vengono raccolti continuamente.
  • La manipolazione degli appunti sostituisce silenziosamente gli indirizzi dei portafogli di criptovalute copiati con indirizzi controllati dall'attaccante, dirottando i fondi all'insaputa della vittima.

Tecniche di monitoraggio furtive per eludere il rilevamento

A differenza di molte famiglie di malware per Android che si basano sulla registrazione dello schermo tramite MediaProjection, Rokarolla adotta una strategia di sorveglianza più discreta. Invece di attivare notifiche di registrazione visibili, acquisisce screenshot tramite i Servizi di accessibilità, li comprime in file PNG e li trasmette singolarmente ai suoi operatori.

Questo approccio riduce la probabilità di rilevamento, fornendo al contempo agli aggressori una visione dettagliata dell'attività dell'utente. Rispetto alle implementazioni VNC nascoste utilizzate da famiglie di malware come HOOK e Klopatra, il monitoraggio basato su screenshot di Rokarolla è più semplice e discreto.

Infrastrutture resilienti e una crescente diffusione dei malware.

Il malware è progettato per resistere ai tentativi di interruzione. Il codice incorpora più domini di comando e controllo di backup e gli operatori possono assegnare dinamicamente server aggiuntivi in base alle necessità. Di conseguenza, la disabilitazione di un singolo server di comando ha un impatto minimo sul funzionamento complessivo.

Il suo ampio set di comandi supera i 107 comandi precedentemente documentati nel trojan bancario HOOK, a testimonianza della crescente sofisticazione dei malware bancari per Android osservata nel corso del 2026. La metodologia di attacco segue uno schema familiare che è diventato sempre più comune:

  • Distribuzione tramite falsi programmi di installazione di applicazioni.
  • Abuso dei Servizi di Accessibilità per l'escalation dei privilegi e il controllo dei dispositivi.
  • Utilizzo di overlay basati su HTML per raccogliere credenziali e informazioni sensibili.

Le misure difensive restano fondamentali

Poiché Rokarolla è un malware e non una vulnerabilità del software, non esiste una patch di sicurezza in grado di eliminare la minaccia. La protezione dipende dal rispetto delle consolidate pratiche di sicurezza di Android.

Le applicazioni devono essere installate esclusivamente dal Google Play Store ufficiale, Google Play Protect deve rimanere sempre attivo e qualsiasi richiesta inaspettata di autorizzazioni di accessibilità deve essere considerata un segnale di allarme significativo. L'accesso alle autorizzazioni di accessibilità costituisce la base della catena di attacchi di Rokarolla e abilita molte delle sue funzionalità più pericolose.

L’attribuzione rimane sconosciuta

Al momento della stesura di questo rapporto, Rokarolla non è stato collegato ad alcun gruppo di criminali informatici o malintenzionati identificati pubblicamente. Tuttavia, la sua progettazione dimostra chiaramente uno sforzo deliberato per aggirare proprio le protezioni su cui gli utenti Android sono incoraggiati a fare affidamento, tra cui Play Protect, le protezioni della schermata di blocco e altri controlli di sicurezza integrati.

Le capacità del malware evidenziano la continua evoluzione dei trojan bancari per Android e la crescente sofisticazione delle minacce mobili a scopo di lucro.

I più visti

Caricamento in corso...