Los investigadores de seguridad de los zLabs de Zimperium han documentado Rokarolla, un nuevo troyano bancario para Android que apunta a 217 aplicaciones bancarias y de criptomonedas y contiene 137 comandos remotos.
Combinados, estos dan a los operadores un control casi total sobre los teléfonos móviles infectados. Elimine los PIN de la pantalla de bloqueo, lea y envíe SMS, reescriba el portapapeles para redirigir los pagos en criptomonedas y desactive Google Play Protect.
Rokarolla, que lleva el nombre de su servidor de comando y control, se propaga a través de sitios web maliciosos disfrazados de aplicaciones populares como TikTok y Chrome.
Lo primero que instalan las víctimas es un cuentagotas disfrazado de Google Play Protect. Esta suplantación se utiliza para instalar la carga útil y obtener acceso de accesibilidad. Una vez que se ejecuta el malware, uno de sus comandos desactiva Play Protect.
El robo se realiza mediante superposición. Rokarolla recupera la lista de objetivos del servidor y, para cada aplicación marcada como activa, descarga una página de inicio de sesión HTML falsa y la almacena en una base de datos local. Cuando una víctima abre una aplicación bancaria o de billetera genuina, el malware coloca una página falsa en la parte superior y captura todo lo ingresado allí, incluidos los detalles de la tarjeta.
El informe muestra una de las páginas falsas que imita la aplicación bancaria «imagin». Otra superposición imita la pantalla de bloqueo de Android para capturar un PIN, patrón o contraseña. Esto permite al operador controlar el teléfono incluso cuando está bloqueado.
Puede leer todos los SMS en su dispositivo y enviar los mensajes él mismo. Eso es suficiente para recibir un código SMS único que los bancos utilizan para iniciar sesión y autorizar transacciones. También puedes bloquear las llamadas entrantes convirtiéndote en la aplicación predeterminada para mensajes de texto y llamadas, de modo que nunca recibas una llamada de advertencia de tu banco.
Los registradores de teclas y de pantalla registran lo que usted escribe y ve, y los troyanos recopilan sus contactos y leen sus notificaciones. El portapapeles se reescribe silenciosamente y las direcciones de la billetera del atacante se intercambian para que los pagos en criptomonedas copiados se envíen a la cuenta incorrecta.
Para el monitoreo, Rokarolla omite el screencast habitual de MediaProjection, genera un mensaje de grabación visible y, en su lugar, toma la captura de pantalla a través de accesibilidad, la comprime a PNG y la envía un cuadro a la vez. Este enfoque instantáneo es más simple y silencioso que el VNC oculto en vivo que se encuentra en familias como Klopatra.
Retirar un solo servidor tiene poco efecto, ya que el malware lleva múltiples dominios C2 alternativos y puede entregar nuevos dominios sobre la marcha. Este número de comandos es 137, que es mayor que el número de 107 de Zimperium contabilizado por el troyano HOOK. Este manual también es el mismo que se implementó en oleadas de banqueros de Android de 2026, incluidos droppers de aplicaciones falsos, vulnerabilidades de accesibilidad y superposiciones HTML.
No hay parches para aplicar aquí. Dado que se trata de malware y no de un defecto del producto, esta defensa es estándar para los banqueros de Android. Instale aplicaciones solo desde Google Play, deje Play Protect activado y trate las solicitudes de accesibilidad inesperadas como señales de alerta. Esto se debe a que ese permiso desencadena toda la cadena de ataque.
Zimperium dice que sus productos han detectado esta familia y que hay evidencia del compromiso en su repositorio de GitHub.
Zimperium no vinculó a Rokarolla con ningún grupo en particular. Lo que muestra esta construcción es intención. Desde Play Protect hasta tu pantalla de bloqueo, se han creado bunkers para derrotar las protecciones exactas en las que te dicen que confíes.
Source link
