I ricercatori hanno analizzato un nuovo trojan Android chiamato Rokarolla. È in grado di assumere il controllo effettivo di un dispositivo, rubare le credenziali di accesso a servizi bancari e di criptovalute da oltre 200 app e monitorare in modo invisibile gran parte delle attività svolte sull'utente sul proprio telefono.
Su un dispositivo infettato, Rokarolla ruba le credenziali di accesso a servizi bancari e piattaforme di criptovalute. Inoltre, utilizza finte schermate di blocco per intercettare il PIN, la sequenza o la password dell'utente.
Quando si apre una delle app bancarie o di criptovalute presenti nell'elenco degli obiettivi di Rokarolla, il malware scarica e visualizza una pagina di accesso contraffatta che riproduce quella dell'app originale. Qualsiasi dato digitato nella pagina contraffatta, inclusi nomi utente, password e numeri di carta, viene inviato agli autori dell'attacco.
Inoltre, Rokarolla sfrutta le funzionalità di accessibilità Androidper monitorare l’attività sul dispositivo. È in grado di riconoscere le schermate di WhatsApp individuando etichette familiari come “Chat” e “Chiamate”, estrarre le informazioni dei contatti, leggere i messaggi SMS e inviarne di nuovi. Queste funzionalità gli consentono di intercettare le password monouso (OTP) e i codici di autenticazione a due fattori (2FA).
Rokarolla è in grado di assumere il controllo dei messaggi di testo e delle chiamate telefoniche, consentendo così di bloccare gli avvisi di sicurezza e nascondere i segni di frode.
È inoltre in grado di registrare tutto ciò che digiti e che vedi sullo schermo. Se copi e incolli l'indirizzo di un portafoglio di criptovalute, il malware può sostituirlo di nascosto con uno appartenente agli autori dell'attacco.
Altre funzionalità aiutano il malware a rimanere nascosto, tra cui la possibilità di nascondere la propria icona, disattivare l'audio del dispositivo, disattivare Google Play Protect e impedire che lo schermo entri in modalità di sospensione.
Come si diffonde
Rokarolla viene diffuso tramite siti web non autorizzati, dove viene proposto come versione contraffatta di app famose come TikTok o Chrome.
Anziché reindirizzarti al Google Play Store ufficiale, questi siti dannosi ti spingono a download app direttamente, una procedura nota come “sideloading”. Una volta installata, l’app contraffatta si spaccia per Google Play Protect e scarica e installa di nascosto il malware che sferra l’attacco.
Per ottenere l'accesso di cui ha bisogno, l'app fasulla richiede autorizzazioni di ampio raggio, tra cui l'accesso alle funzioni di accessibilità, l'autorizzazione a leggere i messaggi SMS e l'accesso alle notifiche. Poiché queste richieste possono sembrare legittime, molti utenti potrebbero approvarle senza rendersi conto dei rischi.
Come stare al sicuro
Per evitare i trojan bancari come Rokarolla, è bene seguire alcune linee guida:
- Non fidarti delle app che dichiarano di essere Google Play Protect o un altro componente del sistema. Non dovresti mai doverle installare manualmente.
- Utilizza una protezione anti-malware aggiornata e in tempo reale, con protezione web , sui tuoi dispositivi.
- Non installare app tramite sideload se sono disponibili sul Google Play Store. Anche se a volte il malware può infiltrarsi negli store ufficiali, il rischio è molto maggiore altrove.
- Non concedere autorizzazioni avanzate alle app scaricate da link o siti web, soprattutto se richiedono l'accesso alle funzioni di accessibilità, autorizzazioni relative agli SMS o la possibilità di gestire le chiamate, anche se ciò non corrisponde allo scopo dichiarato.
- Infatti, qualsiasi richiesta di accesso alle funzioni di accessibilità dovrebbe essere trattata con cautela. Se un'app che non è chiaramente uno strumento di accessibilità ne fa richiesta, rifiuta la richiesta e valuta nuovamente se ti fidi della fonte.
- Esamina attentamente le schermate di accesso alle app bancarie e alle app di criptovalute. Se qualcosa ti sembra strano o se vengono visualizzate più richieste di accesso, chiudi l'app e riavviala dall'icona ufficiale.
I truffatori sanno più cose su di te di quanto tu creda.
Malwarebytes Mobile Security tiMobile Security da phishing, SMS truffaldini, siti dannosi e altro ancora. Con la funzione Scam Guard basata sull'intelligenza artificiale integrata e attiva in tempo reale.
