Unos investigadores han analizado un nuevo troyano Android llamado Rokarolla. Es capaz de tomar el control efectivo de un dispositivo, robar datos de acceso a servicios bancarios y de criptomonedas de más de 200 aplicaciones, y supervisar de forma sigilosa gran parte de lo que haces en tu teléfono.
En un dispositivo infectado, Rokarolla roba los datos de acceso a cuentas bancarias y de criptomonedas. Además, utiliza superposiciones falsas en la pantalla de bloqueo para capturar tu PIN, patrón o contraseña.
Al abrir una de las aplicaciones bancarias o de criptomonedas que figuran en la lista de objetivos de Rokarolla, el malware se descarga y muestra una página de inicio de sesión falsa que imita a la aplicación real. Todo lo que se introduzca en la página falsa, incluidos los nombres de usuario, las contraseñas y los números de tarjeta, se envía a los atacantes.
Por otra parte, Rokarolla hace un uso indebido de las funciones de accesibilidad Androidpara supervisar la actividad en todo el dispositivo. Es capaz de reconocer pantallas de WhatsApp buscando etiquetas conocidas como «Chats» y «Llamadas», extraer información de contactos, leer mensajes SMS y enviar otros nuevos. Estas capacidades le permiten interceptar contraseñas de un solo uso (OTP) y códigos de autenticación de dos factores (2FA).
Rokarolla puede tomar el control de los mensajes de texto y las llamadas telefónicas, lo que le permite bloquear las alertas de seguridad y ocultar los indicios de fraude.
También puede registrar todo lo que escribes y ves en la pantalla. Si copias y pegas la dirección de un monedero de criptomonedas, el malware puede sustituirla en secreto por otra que pertenezca a los atacantes.
Hay otras funciones que ayudan al malware a permanecer oculto, como la capacidad de ocultar su icono, silenciar el dispositivo, desactivar Google Play Protect e impedir que la pantalla entre en modo de suspensión.
Cómo se propaga
Rokarolla se distribuye a través de sitios web fraudulentos, donde se ofrece como versiones falsas de aplicaciones populares como TikTok o Chrome.
En lugar de redirigirte a la tienda oficial de Google Play, estos sitios maliciosos te obligan a descargar la aplicación directamente, un proceso conocido como «sideloading». Una vez instalada, la aplicación falsa se hace pasar por Google Play Protect y, de forma encubierta, descarga e instala el malware que lleva a cabo el ataque.
Para obtener el acceso que necesita, la aplicación falsa solicita permisos de gran alcance, entre los que se incluyen el acceso a la accesibilidad, el permiso para leer mensajes SMS y el acceso a las notificaciones. Dado que estas solicitudes pueden parecer legítimas, es posible que muchos usuarios las aprueben sin darse cuenta de los riesgos que entrañan.
Cómo mantenerse seguro
Para evitar troyanos bancarios como Rokarolla, hay algunas pautas que debes seguir:
- No confíes en las aplicaciones que afirman ser Google Play Protect u otro componente del sistema. Nunca deberías tener que instalarlas manualmente.
- Utiliza una protección antimalware actualizada y en tiempo real, con protección web , en tus dispositivos.
- No instales aplicaciones que ya estén disponibles en Google Play Store. Aunque a veces puede colarse malware en las tiendas oficiales, el riesgo es mucho mayor en otros sitios.
- No concedas permisos avanzados a las aplicaciones descargadas desde enlaces o sitios web, sobre todo si solicitan acceso a las funciones de accesibilidad, permisos para SMS o la capacidad de gestionar llamadas, aunque ello no se corresponda con la finalidad que declaran.
- De hecho, cualquier solicitud de acceso a las funciones de accesibilidad debe tratarse con precaución. Si una aplicación que no es claramente una herramienta de accesibilidad solicita dicho acceso, rechaza la solicitud y reconsidera si confías en la fuente.
- Examina detenidamente las pantallas de inicio de sesión de las aplicaciones bancarias y de criptomonedas. Si algo te parece sospechoso o ves varias solicitudes de inicio de sesión, cierra la aplicación y vuelve a abrirla desde su icono oficial.
Los estafadores saben más de ti de lo que crees.
Malwarebytes Mobile Security teMobile Security contra el phishing, los mensajes de texto fraudulentos, los sitios web maliciosos y mucho más. Con Scam Guard, una función integrada basada en inteligencia artificial que opera en tiempo real.
