Un nuovo trojan Android bersaglia 217 app bancarie: ruba pin, codici SMS e portafogli crypto

I ricercatori di sicurezza informatica del team zLabs di Zimperium hanno identificato una nuova e sofisticata minaccia: un trojan bancario per dispositivi Android in grado di assumere il controllo quasi totale degli smartphone infetti.

Ribattezzato Rokarolla, dal nome dell’infrastruttura di comando e controllo utilizzata dai criminali, questo malware prende di mira ben 217 applicazioni finanziarie, tra cui servizi bancari tradizionali e piattaforme di gestione di criptovalute.

Con un arsenale di 137 comandi eseguibili da remoto, il codice maligno supera per complessità anche minacce recenti come il trojan HOOK, che si fermava a 107 istruzioni.

Rokarolla è il nuovo trojan che ti svuota il conto in banca

La diffusione di Rokarolla avviene attraverso siti web malevoli che si spacciano per versioni legittime di applicazioni molto popolari, come TikTok o il browser Google Chrome.

Il primo elemento che la vittima scarica è un programma di installazione mascherato in modo ingannevole da Google Play Protect.

Sfruttando questo abile travestimento, il malware inganna l’utente inducendolo a concedere i permessi di Accessibilità del sistema operativo. Una volta insediatosi e operativo, il primo passo del trojan è proprio quello di disattivare la vera protezione di Google Play Protect, privando così il dispositivo della principale difesa automatica integrata.

Il meccanismo di furto finanziario orchestrato dagli sviluppatori di Rokarolla si basa principalmente sull’uso di schermate sovrapposte. Il trojan scarica dal proprio server una lista aggiornata di bersagli e, per ogni applicazione bancaria o portafoglio digitale rilevato come attivo sullo smartphone, salva in un database locale una finta pagina di accesso in formato HTML.

Nel momento in cui l’utente apre l’applicazione legittima della propria banca, il malware sovrappone istantaneamente la pagina falsa. Qualsiasi informazione digitata in questa schermata, inclusi i dettagli della carta di credito e le credenziali di accesso, viene immediatamente catturata e trasmessa agli attaccanti.

Un’altra schermata fittizia viene utilizzata per replicare alla perfezione il blocco schermo nativo di Android. Questo stratagemma permette ai criminali di registrare il PIN, la sequenza di sblocco o la password del dispositivo, garantendo agli operatori remoti la possibilità di inviare comandi e navigare nel sistema anche quando lo smartphone è fisicamente bloccato dal proprietario.

Sorveglianza totale e manipolazione delle transazioni

Le capacità di spionaggio del malware sono estremamente ampie. Il malware agisce come keylogger per registrare ogni singolo tocco sulla tastiera virtuale e legge sistematicamente tutte le notifiche in arrivo.

Inoltre, ha pieno accesso ai messaggi SMS: può leggerli in entrata e inviarne di nuovi senza alcun intervento manuale. Questa funzione è cruciale per intercettare i codici monouso che gli istituti di credito inviano per autorizzare i pagamenti o i nuovi accessi.

Rendendosi il gestore predefinito per i messaggi e le chiamate, il trojan è persino in grado di bloccare le telefonate in entrata, impedendo materialmente agli avvisi anti-frode telefonici della banca di raggiungere la vittima.

Un pericolo altrettanto grave riguarda chi gestisce risorse in criptovaluta. Il malware analizza e riscrive in modo del tutto silenzioso gli appunti del sistema operativo. Se l’utente copia l’indirizzo di un portafoglio digitale per effettuare un pagamento, Rokarolla lo sostituisce in frazioni di secondo con un indirizzo di destinazione controllato dai criminali, deviando i fondi in modo irreversibile verso conti illeciti.

Per monitorare visivamente il comportamento della vittima senza destare alcun sospetto, il trojan evita i metodi di trasmissione video tradizionali che farebbero apparire un’icona di registrazione sulla barra di stato. Al contrario, preferisce sfruttare i permessi di Accessibilità per scattare istantanee continue dello schermo, comprimerle in formato PNG e inviarle ai server un singolo fotogramma alla volta, operando in assoluto silenzio.

Architettura resiliente e misure di sicurezza

L’infrastruttura di rete che sostiene Rokarolla è progettata per resistere ai tentativi di smantellamento da parte delle autorità.

Il malware mantiene costantemente attivi molteplici domini di emergenza per le operazioni di comando e controllo e può riceverne di nuovi in tempo reale. Di conseguenza, neutralizzare un singolo server risulta totalmente inefficace per interrompere la campagna fraudolenta.

Sebbene Zimperium non abbia ancora attribuito formalmente l’attacco a un gruppo specifico di criminali informatici, l’impianto tecnico evidenzia un livello di sofisticazione notevole.

Trattandosi di un’infezione attiva e non di una vulnerabilità intrinseca del software di base, non esiste una patch automatica in grado di risolvere il problema.

La protezione si fonda esclusivamente sul rigore preventivo degli utenti: installare applicazioni unicamente dal negozio ufficiale Google Play, verificare costantemente che il sistema Play Protect sia abilitato e considerare qualsiasi richiesta inaspettata di accesso ai servizi di Accessibilità come un segnale di compromissione, poiché è esattamente quell’autorizzazione a innescare e sostenere l’intero ciclo di attacco.

Questo articolo Un nuovo trojan Android bersaglia 217 app bancarie: ruba pin, codici SMS e portafogli crypto è stato pubblicato in origine su GizChina.it.