Un nuevo troyano de Android llamado Rokarolla apunta a 217 aplicaciones bancarias y puede robar tu PIN, códigos SMS y fondos de billeteras de criptomonedas.

Un nuevo troyano de Android llamado Rokarolla apunta a 217 aplicaciones bancarias y puede robar tu PIN, códigos SMS y fondos de billeteras de criptomonedas.

      TL;DRZimperium encontró Rokarolla, un troyano de Android que apunta a 217 aplicaciones bancarias con 137 comandos. Roba PINs, intercepta SMS y secuestra pagos en criptomonedas.

      Los investigadores de seguridad de zLabs de Zimperium han documentado un nuevo troyano bancario de Android que apunta a 217 aplicaciones bancarias y de criptomonedas y lleva 137 comandos remotos, dando a un operador un control casi total de un teléfono infectado. El malware, que Zimperium llama Rokarolla en honor a su infraestructura de comando y control, puede robar PINs de la pantalla de bloqueo, leer y enviar mensajes SMS, reescribir el portapapeles para redirigir pagos en criptomonedas y desactivar Google Play Protect.

      Rokarolla se propaga a través de sitios web maliciosos que suplantan aplicaciones populares como TikTok y Chrome. Lo primero que instala una víctima es un dropper disfrazado de Google Play Protect, que utiliza esa máscara para instalar la carga principal y obtener acceso a Accesibilidad. Una vez en funcionamiento, uno de los primeros comandos del troyano desactiva Play Protect, eliminando la principal defensa automatizada de la que dependen la mayoría de los usuarios de Android.

      El robo financiero funciona a través de superposiciones. Rokarolla obtiene una lista de objetivos de su servidor, y para cada aplicación bancaria o de billetera marcada como activa, descarga una página de inicio de sesión HTML falsa y la almacena en una base de datos local. Cuando la víctima abre la aplicación legítima, el malware coloca la página falsa encima y captura todo lo que se escribe en ella, incluidos los detalles de la tarjeta y las credenciales de inicio de sesión.

      Una superposición separada imita la pantalla de bloqueo de Android para cosechar el PIN, patrón o contraseña del dispositivo, lo que permite al operador emitir comandos incluso mientras el teléfono está bloqueado. El troyano lee cada SMS en el dispositivo y puede enviar mensajes por sí mismo, lo que es suficiente para interceptar los códigos de un solo uso que los bancos utilizan para autorizar transacciones. Al convertirse en el manejador predeterminado de textos y llamadas, también puede bloquear llamadas entrantes, impidiendo que las notificaciones de alerta de fraude lleguen al usuario.

      Un keylogger y un screen logger registran lo que el usuario escribe y ve, mientras que el troyano recopila contactos y lee notificaciones. El portapapeles se reescribe en silencio, intercambiando direcciones de billetera controladas por el atacante para que un pago en criptomonedas copiado llegue a la cuenta equivocada. Para la vigilancia, Rokarolla omite el método habitual de proyección de medios, que muestra un aviso de grabación visible, y en su lugar toma capturas de pantalla a través de Accesibilidad, las comprime a PNG y las envía un fotograma a la vez.

      El malware mantiene múltiples dominios de comando y control de respaldo y puede recibir nuevos sobre la marcha, por lo que derribar un solo servidor hace poco para interrumpir las operaciones. Sus 137 comandos superan los 107 que Zimperium contó en el troyano HOOK, y el libro de jugadas es el mismo que corre a través de una ola de banqueros de Android de 2026: dropers de aplicaciones falsas, abuso de Accesibilidad y superposiciones HTML. Ya se han encontrado troyanos bancarios de Android que utilizan técnicas idénticas incrustados en aplicaciones de streaming falsas dirigidas a los aficionados de la Copa Mundial 2026.

      Zimperium no atribuyó Rokarolla a un grupo de amenazas nombrado, y ningún laboratorio independiente ha publicado un análisis separado aún, por lo que las afirmaciones técnicas descansan en una sola fuente. El informe de la compañía documenta capacidades, no recuentos de infecciones confirmadas, lo que significa que la escala real de las infecciones sigue siendo desconocida.

      No hay un parche de software que aplicar porque se trata de malware, no de una vulnerabilidad de producto. Las defensas son las estándar para los banqueros de Android: instalar aplicaciones solo desde Google Play, dejar Play Protect habilitado y tratar cualquier solicitud inesperada de permiso de Accesibilidad como una señal de alerta, ya que ese único permiso impulsa toda la cadena de ataque. Zimperium dice que sus propios productos detectan la familia, y los indicadores de compromiso se publican en su repositorio de GitHub.

Otros artículos

Google lanza Android 17 con Gemini Intelligence, modo de juego plegable y controles de privacidad más estrictos. Google lanza Android 17 con Gemini Intelligence, modo de juego plegable y controles de privacidad más estrictos. Android 17 comienza a implementarse en los teléfonos Pixel hoy con multitarea Bubbles, juegos plegables, Gemini Intelligence y nuevos ajustes de seguridad predeterminados. El implante cerebral de UC Davis permite a un paciente de ELA hablar con un 99% de precisión y trabajar a tiempo completo, sin necesidad de investigadores. El implante cerebral de UC Davis permite a un paciente de ELA hablar con un 99% de precisión y trabajar a tiempo completo, sin necesidad de investigadores. Investigadores de UC Davis publicaron un estudio en Nature Medicine que muestra que un implante de BCI le dio a un paciente de ELA un 99% de precisión en el habla durante dos años de uso diario independiente. Android 17 está a punto de mejorar mucho los juegos en dispositivos plegables. Android 17 está a punto de mejorar mucho los juegos en dispositivos plegables. Android 17 está apostando fuerte por los juegos móviles con un nuevo diseño compatible con dispositivos plegables, mapeos de controladores personalizables y ajustes de rendimiento destinados a reducir los tartamudeos. Una startup de IA checa dice que puede detectar drones por sonido por €150 por sensor, y quiere conectar primero las redes eléctricas. Una startup de IA checa dice que puede detectar drones por sonido por €150 por sensor, y quiere conectar primero las redes eléctricas. El Sound Shield de Neuron Soundware utiliza micrófonos impulsados por IA que cuestan entre 100 y 150 € cada uno para detectar drones acústicamente, presentado como una alternativa económica al radar. La respuesta de LiberNovo a un problema creciente en el lugar de trabajo: ergonomía que realmente se ajusta La respuesta de LiberNovo a un problema creciente en el lugar de trabajo: ergonomía que realmente se ajusta La mayoría de las sillas ergonómicas están diseñadas en torno a promedios. La última línea de LiberNovo adopta un enfoque diferente, con la serie Maxis enfocada en personas grandes y altas, el Omni Pro dinámicamente adaptable y el accesible Omni SE, que ofrecen soluciones ergonómicas adaptadas a diferentes usuarios, estilos de trabajo y necesidades de comodidad. Rivian despide a cientos de trabajadores una semana después de lanzar las entregas del R2 mientras persigue su primera ganancia. Rivian despide a cientos de trabajadores una semana después de lanzar las entregas del R2 mientras persigue su primera ganancia. Rivian redujo menos del 2% de su fuerza laboral en los equipos de servicio y atención al cliente, una semana después de que comenzaran las entregas del R2. La empresa perdió $3.6 mil millones en 2025 con 42,247 vehículos.

Un nuevo troyano de Android llamado Rokarolla apunta a 217 aplicaciones bancarias y puede robar tu PIN, códigos SMS y fondos de billeteras de criptomonedas.

El zLabs de Zimperium encontró Rokarolla, un troyano bancario de Android con 137 comandos que roba PINs, intercepta SMS, secuestra pagos en criptomonedas y desactiva Play Protect.