Il panorama delle minacce per Android, come spesso vi raccontiamo sulle nostre pagine, non accenna ad arrestare la sua espansione e questa volta si arricchisce di un nuovo e pericoloso attore.

Si chiama Rokarolla, ed è un trojan bancario analizzato dai ricercatori di sicurezza nelle scorse ore che, stando a quanto riferito, è in grado di assumere il controllo effettivo di uno smartphone, rubare le credenziali di accesso a oltre 200 app tra servizi bancari e piattaforme di criptovalute, e monitorare invisibilmente gran parte delle attività dell’utente.

Per citare alcune minacce simili,a settembre avevamo parlato di Brokewell, un malware capace persino di aggirare i codici generati da Google Authenticator, rendendo inefficace l’autenticazione a due fattori. A novembre era toccato a Sturnus, che si nascondeva in APK camuffati da app note come Chrome. Rokarolla segue lo stesso schema, con alcune caratteristiche che lo rendono particolarmente insidioso.

Segui TuttoAndroid su Google Discover

⭐️ Amazon Prime Day è oggi ➡️

Offerta
-10%

Google Pixel 10 Pro XL

899€ invece di 999€
Amazon
Offerta
-28%

realme P4X 4G, 7500mAh

Offerta + coupon: P4X20OFF

179.99€ invece di 249.99€
Amazon
Offerta
-42%

ECOVACS DEEBOT T50 PRO OMNI Gen3

349€ invece di 599€
Amazon
Offerta
-21%

Google Pixel 10a

394.99€ invece di 499€
Amazon
Offerta
-34%

Samsung Galaxy S26 Ultra

985€ invece di 1499€
Amazon
Offerta
-38%

roborock Qrevo S Pro Set

Offerta + coupon: TTANDROID5

369.99€ invece di 599.99€
Amazon
Offerta
-25%

ECOVACS DEEBOT T90 PRO OMNI

599€ invece di 799€
Amazon
Offerta
-19%

Tineco Floor ONE S7 Stretch Ultra

299€ invece di 369.99€
Amazon
Offerta
-26%

POCO X8 Pro, 6500mAh

294.4€ invece di 399.9€
Amazon
Offerta
-18%

ASUS Vivobook S16, OLED, 16GB/1TB

599€ invece di 730.47€
Amazon
Offerta
-48%

roborock Qrevo Curv 2 Flow

Offerta + clicca su applica coupon di 50 euro + coupon: TTANDROID5

469€ invece di 899€
Amazon
Offerta
-17%

vivo X300 Ultra 16GB / 1TB + BUNDLE

1999.9€ invece di 2399€
Amazon
Offerta
-20%

msi Modern 14, 16/512 GB

599€ invece di 749€
Amazon
Offerta
-28%

DREAME H15 Pro Heat

429€ invece di 599€
Amazon

Come funziona Rokarolla

Una volta installato sul dispositivo, il malware attende che l’utente apra una delle app bancarie o di criptovalute presenti nella sua lista di obiettivi. A quel punto scarica e sovrappone una schermata di accesso contraffatta, identica a quella dell’app originale. Qualsiasi dato digitato in quella schermata, inclusi nome utente, password e numeri di carta, viene inviato silenziosamente agli autori dell’attacco.

Rokarolla sfrutta le funzionalità di accessibilità di Android per monitorare l’attività sul dispositivo in modo capillare. È in grado di riconoscere le schermate di WhatsApp individuando elementi dell’interfaccia come “Chat” e “Chiamate”, estrarre le informazioni dei contatti, leggere e inviare messaggi SMS. Questo gli consente di intercettare le password monouso (OTP) e i codici di autenticazione a due fattori, aggirando di fatto uno degli strumenti di protezione più diffusi.

Badate bene che il malware non si limita al furto di credenziali ma utilizza anche finte schermate di blocco per intercettare il PIN, la sequenza di sblocco o la password del dispositivo. È in grado di assumere il controllo di messaggi di testo e chiamate telefoniche, bloccando gli avvisi di sicurezza e nascondendo i segnali di frode.

Se si copia e incolla l’indirizzo di un portafoglio di criptovalute, il malware può sostituirlo silenziosamente con uno appartenente agli attaccanti, rubando l’intero importo della transazione.

Per restare nascosto, Rokarolla può nascondere la propria icona dalla schermata home, disattivare l’audio del dispositivo, disabilitare Google Play Protect e impedire che lo schermo entri in modalità di sospensione.

Come si diffonde: finte versioni di TikTok e Chrome

Rokarolla viene distribuito attraverso siti web non autorizzati, dove viene proposto come versione contraffatta di app popolari come TikTok o Chrome. Anziché rimandare al Google Play Store ufficiale, questi siti spingono l’utente a scaricare l’app direttamente, una procedura nota come sideloading. Una volta installata, l’app si spaccia per Google Play Protect e scarica silenziosamente il payload malevolo.

Per ottenere l’accesso necessario a operare, l’app richiede permessi di ampio raggio: accesso alle funzioni di accessibilità, lettura degli SMS e accesso alle notifiche. Richieste che possono sembrare legittime a un utente inesperto, soprattutto se l’app si presenta come un componente di sistema.

Come proteggersi da queste minacce

Anche in questo caso, come vi ricordiamo sempre, le regole da seguire sono poche ma efficaci: non installare app tramite sideloading se sono disponibili sul Google Play Store. Qualsiasi app che si presenta come Google Play Protect o come un componente del sistema operativo e richiede di essere installata manualmente è con ogni probabilità malevola e questi componenti non si installano mai manualmente.

È bene trattare con estrema cautela qualsiasi richiesta di accesso alle funzionalità di accessibilità da parte di app che non sono chiaramente strumenti di accessibilità.

Non concedere permessi avanzati ad app scaricate da link o siti web è una buona abitudine generale. Infine, vale sempre la pena esaminare attentamente le schermate di accesso alle app bancarie e se qualcosa sembra strano o compaiono più richieste di accesso insolite, è meglio chiudere l’app e riaprirla dall’icona ufficiale.

Potrebbero interessarti:

Seguici su:Google DiscoverGoogle, come Fonte PreferitaFacebookYouTubeInstagram TikTok