Un nuovo trojan Android chiamato Rokarolla prende di mira 217 app bancarie e può rubare il tuo PIN, i codici SMS e i fondi del portafoglio crypto.

Un nuovo trojan Android chiamato Rokarolla prende di mira 217 app bancarie e può rubare il tuo PIN, i codici SMS e i fondi del portafoglio crypto.

      TL;DRZimperium ha trovato Rokarolla, un trojan Android che prende di mira 217 app bancarie con 137 comandi. Ruba PIN, intercetta SMS e dirotta pagamenti in criptovaluta.

      I ricercatori di sicurezza di zLabs di Zimperium hanno documentato un nuovo trojan bancario Android che prende di mira 217 applicazioni bancarie e di criptovaluta e porta 137 comandi remoti, dando a un operatore un controllo quasi totale di un telefono infetto. Il malware, che Zimperium chiama Rokarolla in base alla sua infrastruttura di comando e controllo, può rubare i PIN dello schermo di blocco, leggere e inviare messaggi SMS, riscrivere il clipboard per reindirizzare i pagamenti in criptovaluta e disabilitare Google Play Protect.

      Rokarolla si diffonde attraverso siti web malevoli che impersonano applicazioni popolari come TikTok e Chrome. La prima cosa che una vittima installa è un dropper travestito da Google Play Protect, che utilizza quella maschera per installare il payload principale e ottenere accesso all'Accessibilità. Una volta in esecuzione, uno dei primi comandi del trojan disattiva Play Protect, rimuovendo la principale difesa automatizzata su cui si affidano la maggior parte degli utenti Android.

      Il furto finanziario avviene attraverso overlay. Rokarolla estrae un elenco di obiettivi dal suo server e, per ogni app bancaria o di wallet contrassegnata come attiva, scarica una falsa pagina di login HTML e la memorizza in un database locale. Quando la vittima apre l'app legittima, il malware sovrappone la pagina contraffatta e cattura tutto ciò che viene digitato, inclusi i dettagli della carta e le credenziali di accesso.

      Un overlay separato imita lo schermo di blocco Android per raccogliere il PIN, il modello o la password del dispositivo, il che consente all'operatore di emettere comandi anche mentre il telefono è bloccato. Il trojan legge ogni SMS sul dispositivo e può inviare messaggi da solo, il che è sufficiente per intercettare i codici usa e getta che le banche utilizzano per autorizzare le transazioni. Facendo diventare se stesso il gestore predefinito per i messaggi e le chiamate, può anche bloccare le chiamate in arrivo, impedendo che le notifiche di allerta frode raggiungano l'utente.

      Un keylogger e uno screen logger registrano ciò che l'utente digita e vede, mentre il trojan estrae contatti e legge notifiche. Il clipboard viene riscritto silenziosamente, sostituendo gli indirizzi del wallet controllati dall'attaccante in modo che un pagamento in criptovaluta copiato atterri nel conto sbagliato. Per la sorveglianza, Rokarolla salta il solito metodo di screen-casting MediaProjection, che mostra un prompt di registrazione visibile, e invece cattura screenshot tramite Accessibilità, li comprime in PNG e li invia uno alla volta.

      Il malware mantiene più domini di comando e controllo di riserva e può riceverne di nuovi al volo, quindi abbattere un singolo server fa poco per interrompere le operazioni. I suoi 137 comandi superano i 107 che Zimperium ha contato nel trojan HOOK, e il playbook è lo stesso che corre attraverso un'ondata di banchieri Android del 2026: dropper di app false, abuso di Accessibilità e overlay HTML. I trojan bancari Android che utilizzano tecniche identiche sono già stati trovati incorporati in false app di streaming che prendono di mira i fan della Coppa del Mondo 2026.

      Zimperium non ha attribuito Rokarolla a un gruppo di minaccia nominato, e nessun laboratorio indipendente ha ancora pubblicato un'analisi separata, quindi le affermazioni tecniche si basano su una sola fonte. Il rapporto dell'azienda documenta le capacità, non i conteggi di infezione confermati, il che significa che la scala reale delle infezioni rimane sconosciuta.

      Non c'è una patch software da applicare perché si tratta di malware, non di una vulnerabilità di prodotto. Le difese sono quelle standard per i banchieri Android: installare app solo da Google Play, mantenere Play Protect abilitato e trattare qualsiasi richiesta di autorizzazione di Accessibilità inaspettata come un campanello d'allarme, poiché quella singola autorizzazione guida l'intera catena di attacco. Zimperium afferma che i propri prodotti rilevano la famiglia, e gli indicatori di compromissione sono pubblicati nel suo repository GitHub.

Altri articoli

Android 17 sta per migliorare notevolmente il gioco sui dispositivi pieghevoli. Android 17 sta per migliorare notevolmente il gioco sui dispositivi pieghevoli. Android 17 sta puntando forte sul gaming mobile con un nuovo layout compatibile con i dispositivi pieghevoli, mappature dei controller personalizzabili e ottimizzazioni delle prestazioni mirate a ridurre i rallentamenti. Una startup ceca di intelligenza artificiale afferma di poter rilevare i droni tramite il suono per 150 € per sensore, e vuole collegare prima le reti elettriche. Una startup ceca di intelligenza artificiale afferma di poter rilevare i droni tramite il suono per 150 € per sensore, e vuole collegare prima le reti elettriche. Il Sound Shield di Neuron Soundware utilizza microfoni alimentati da intelligenza artificiale che costano tra i 100 e i 150 euro ciascuno per rilevare i droni acusticamente, presentato come un'alternativa economica al radar. Si dice che gli AirPods con una fotocamera integrata siano nella roadmap di Apple per il 2027. Si dice che gli AirPods con una fotocamera integrata siano nella roadmap di Apple per il 2027. Gli AirPods con fotocamera, a lungo vociferati, di Apple potrebbero arrivare nel 2027, dando a Siri la capacità di comprendere l'ambiente circostante di un utente e rispondere a domande sul mondo che lo circonda. L'impianto cerebrale dell'UC Davis consente a un paziente affetto da SLA di parlare con il 99% di precisione e lavorare a tempo pieno, senza bisogno di ricercatori. L'impianto cerebrale dell'UC Davis consente a un paziente affetto da SLA di parlare con il 99% di precisione e lavorare a tempo pieno, senza bisogno di ricercatori. I ricercatori della UC Davis hanno pubblicato uno studio su Nature Medicine che mostra come un impianto BCI abbia fornito a un paziente affetto da SLA un discorso preciso al 99% durante due anni di utilizzo quotidiano indipendente. La risposta di LiberNovo a un problema crescente sul posto di lavoro: ergonomia che si adatta realmente La risposta di LiberNovo a un problema crescente sul posto di lavoro: ergonomia che si adatta realmente La maggior parte delle sedie ergonomiche è progettata attorno a medie. L'ultima linea di LiberNovo adotta un approccio diverso, con la serie Maxis focalizzata su Big & Tall, l'Omni Pro dinamicamente adattivo e l'Omni SE accessibile che offrono soluzioni ergonomiche su misura per diversi utenti, stili di lavoro e esigenze di comfort. Una startup ceca di intelligenza artificiale afferma di poter rilevare i droni tramite il suono per 150 € per sensore, e vuole collegare prima le reti elettriche. Una startup ceca di intelligenza artificiale afferma di poter rilevare i droni tramite il suono per 150 € per sensore, e vuole collegare prima le reti elettriche. Il Sound Shield di Neuron Soundware utilizza microfoni alimentati da intelligenza artificiale che costano tra i 100 e i 150 euro ciascuno per rilevare i droni acusticamente, presentato come un'alternativa economica al radar.

Un nuovo trojan Android chiamato Rokarolla prende di mira 217 app bancarie e può rubare il tuo PIN, i codici SMS e i fondi del portafoglio crypto.

Zimperium's zLabs ha trovato Rokarolla, un trojan bancario Android con 137 comandi che ruba i PIN, intercetta SMS, dirotta i pagamenti in criptovaluta e disattiva Play Protect.