La nuova minaccia Rokarolla, un sofisticato trojan Android, prende di mira 217 app di istituti finanziari

Un nuovo tipo di software dannoso, chiamato Rokarolla, rappresenta una minaccia significativa per la sicurezza dei dispositivi Android. Gli esperti di sicurezza informatica hanno rilevato una complessa offensiva digitale, che impiega lo spionaggio, il furto delle informazioni di accesso e il controllo remoto dei dispositivi, con lo scopo di accedere a dati bancari, carte e portafogli di criptovaluta.

La preoccupazione che circonda Rokarolla risiede nella sua portata, capace di compromettere 217 applicazioni legate al settore finanziario, e nella sua infrastruttura altamente sviluppata. Secondo l’analisi dei ricercatori, questo trojan bancario utilizza 137 comandi diversi, che vanno dalla raccolta dei dati dello smartphone al controllo completo del dispositivo infetto.

Il pericolo è amplificato dal modo in cui Rokarolla si mimetizza con le sue vittime. Invece di apparire come un’applicazione sospetta, assume l’identità di programmi e piattaforme popolari, come Google Play Protect, il browser Chrome e TikTok, aumentando le probabilità di ingannare gli utenti meno vigili.

Scopri come il malware Rokarolla si infiltra e domina i dispositivi Android

Il ciclo di infezione inizia al di fuori dell’ambiente ufficiale dello store Android. Gli autori di frodi diffondono il trojan Rokarolla attraverso pagine Web fraudolente, tattiche di ingegneria sociale e portali che simulano aggiornamenti software o software autentici.

Quando l’utente visita questi siti, viene indotto a scaricare un file APK corrotto. Questo file funge da “dropper”, un programma di installazione preliminare che stabilisce le condizioni per l’introduzione del principale codice dannoso.

Una volta installata, l’applicazione esegue una sequenza di indagini per riconoscere le specifiche del dispositivo, garantendo che la contaminazione sia effettiva.

Rischio per la sicurezza: come Rokarolla sfrutta i servizi di accessibilità

Tra le tattiche più rischiose impiegate da Rokarolla c’è lo sfruttamento indebito delle funzionalità di accessibilità presenti nel sistema Android.

Sebbene sviluppate per supportare persone con disabilità visive, uditive o motorie, queste funzionalità, quando rilasciate ad applicazioni con intenti dannosi, garantiscono un controllo quasi totale sul dispositivo.

Una volta che la vittima viene indotta a fornire questa autorizzazione, il Trojan acquisisce la capacità di eseguire diverse azioni, tra cui:

• Leggi il contenuto che appare sullo schermo del dispositivo.
• Simula interazioni come tocchi e gesti.
• Funziona automaticamente all’interno di altre applicazioni.
• Registra e acquisisci messaggi SMS.
• Intercetta e visualizza le notifiche.
• Concessione di autorizzazioni senza il consenso del proprietario.
• Eseguire operazioni amministrative di alto livello.

In pratica, questa autorizzazione consente agli aggressori di manipolare diverse funzioni dello smartphone in modo discreto, senza che l’utente se ne accorga.

Raccolta dati: Rokarolla mappa le informazioni dell’utente per attacchi mirati

Dopo aver acquisito i permessi essenziali, Rokarolla procede ad una fase di raccolta dei dati dal dispositivo.

Il software dannoso riunisce diverse specifiche tecniche, come ad esempio:

• La quantità di memoria RAM disponibile.
• La capacità di archiviazione interna totale.
• Il livello di carica attuale della batteria.
• La versione installata del sistema Android.
• Il modello specifico del dispositivo mobile.
• L’elenco delle applicazioni installate.

Queste informazioni vengono trasmesse a un server Command and Control (C2), un framework criminale informatico utilizzato per gestire da remoto i dispositivi che sono stati infettati.

Armati di questi dati, gli operatori malintenzionati sono in grado di personalizzare gli attacchi per ciascun individuo, aumentando l’efficacia dell’intera operazione.

Attacchi overlay: Rokarolla simula schermi per rubare dati e credenziali bancarie

La tattica principale del trojan bancario Rokarolla risiede nell’implementazione di overlay sullo schermo, noti come “attacchi overlay”.

Il malware tiene costantemente traccia delle applicazioni a cui si accede sul dispositivo. Quando identifica l’apertura di una delle 217 applicazioni finanziarie che ha nel mirino, proietta un’interfaccia ingannevole sullo schermo reale.

Per l’utente, l’esperienza visiva rimane identica all’originale.

La pagina manomessa replica loghi, combinazioni di colori e componenti grafici dell’applicazione originale. Quando l’utente inserisce nome utente, password, codici di sicurezza o dettagli finanziari, tutte le informazioni vengono immediatamente trasmesse ai criminali informatici.

Oltre alle credenziali bancarie, Rokarolla mira anche a raccogliere:

Leia Também

Ultime Notizie (IT) • 28/06/2026

Dove guardare in diretta Sud Africa-Canada alla Coppa del Mondo FIFA 2026

Ultime Notizie (IT) • 28/06/2026

L’incidente aereo della Saudi Aramco provoca 14 morti vicino a un terminal petrolifero in Arabia Saudita

Ultime Notizie (IT) • 28/06/2026

Il quotidiano portoghese critica la prestazione di Cristiano Ronaldo nel sorteggio del Portogallo; Diogo Costa viene eletto pezzo forte

• Dettagli della carta di credito.
• Contenuto dei portafogli digitali.
• Accedi alle informazioni sulle piattaforme di scambio di criptovaluta.
• Token di verifica dell’identità.
• Messaggi e codici ricevuti via SMS.

I ricercatori hanno rilevato anche la funzionalità del “keylogger”, uno strumento in grado di registrare ogni carattere digitato sul dispositivo.

Un’altra azione allarmante è il tentativo di intercettare il PIN di sblocco del dispositivo. Con questi dati i criminali possono espandere ulteriormente il loro controllo sull’utente e complicare notevolmente qualsiasi tentativo di recupero degli account.

Tattiche di occultamento: il trojan Rokarolla tenta di disattivare le protezioni e rimanere attivo

Seguendo lo schema delle recenti minacce digitali, Rokarolla è stato progettato per funzionare a lungo, evitando di essere rilevato.

Per raggiungere questo obiettivo, impiega varie strategie di evasione.

Tra le più pericolose c’è l’intenzione di disattivare Google Play Protect, il principale sistema di difesa di Android contro le applicazioni potenzialmente dannose.

Inoltre, il malware è in grado di:

• Rimuovi la tua icona dalla barra delle applicazioni.
• Mascherare un comportamento insolito per l’utente.
• Interrompi le telefonate in arrivo.
• Modificare o eliminare le notifiche di sicurezza.
• Blocca gli avvisi bancari relativi ad attività fraudolente.
• Creare ostacoli alla disinstallazione del software.

Tali metodi prolungano notevolmente il periodo di attività della minaccia all’interno del dispositivo compromesso.

L’esistenza di 137 comandi eseguibili a distanza dagli operatori rivela che la campagna è stata progettata nell’ottica di un’elevata flessibilità operativa, consentendo ai criminali di adattare le azioni a seconda di ciascun attacco.

Misure essenziali per proteggere il tuo Android da Rokarolla

Nonostante l’elevata complessità di Rokarolla, l’adozione di alcune precauzioni può ridurre notevolmente la possibilità di infezione.

I seguenti suggerimenti sono in linea con le pratiche di sicurezza ampiamente raccomandate dagli esperti e dai ricercatori di Zimperium.

La principale via di accesso sfruttata dal trojan sono i file APK ottenuti da fonti non ufficiali. Dai sempre la priorità all’installazione delle applicazioni direttamente dal Google Play Store o dai negozi autorizzati dal produttore del tuo dispositivo.

Particolare attenzione deve essere posta ai permessi di accessibilità. Se una comune applicazione richiede l’accesso a queste funzioni senza una spiegazione ovvia, ciò deve essere interpretato come un serio segnale di allarme.

Google Play Protect fornisce un livello di difesa fondamentale contro software potenzialmente dannoso. È fondamentale verificare periodicamente se questa funzionalità rimane attiva nelle impostazioni del tuo dispositivo Android.

Gli aggiornamenti di sicurezza sono essenziali per correggere i difetti sfruttati dagli aggressori. Mantenere il sistema Android e tutte le applicazioni sempre aggiornati riduce notevolmente le possibilità di attacchi.

Le campagne di ingegneria sociale spesso sfruttano il senso di urgenza per imporre decisioni rapide e sconsiderate. È essenziale prestare attenzione ai collegamenti ricevuti tramite SMS, messaggistica istantanea o social network.

La comparsa di Rokarolla evidenzia la continua e rapida evoluzione dei trojan bancari che prendono di mira Android. Combinando tecniche di phishing, sfruttamento dei servizi di accessibilità, furto di credenziali, sorveglianza delle app finanziarie e sofisticati meccanismi di offuscamento, questa minaccia rappresenta un pericolo considerevole sia per gli utenti comuni che per gli investitori in criptovalute. La lezione generale rimane invariata: evitare di installare file APK da fonti dubbie e rivedere attentamente le autorizzazioni sensibili concesse alle app. In un ambiente digitale in cui i criminali replicano servizi legittimi con grande fedeltà, la sorveglianza degli utenti rimane una delle barriere di difesa più cruciali.