Descargó TikTok y se quedó sin sueldo: Rokarolla muestra el precio de confiar en fuentes externas
Un icono familiar oculta un ataque que pasa desapercibido hasta el primer cargo.
Las páginas falsas que imitan aplicaciones populares se han convertido nuevamente en una herramienta conveniente para robar dinero, y el nuevo troyano Rokarolla muestra hasta dónde pueden llegar los atacantes tras una sola instalación en un dispositivo Android.
Los especialistas de Zimperium informaron sobre el troyano bancario Rokarolla, que ataca 217 aplicaciones bancarias y de criptomonedas. El malware se distribuye a través de sitios que se hacen pasar por las páginas de descarga de Google Chrome o TikTok. Durante la instalación, la aplicación imita a Google Play Protect, la protección integrada de Android, y ofrece instalar Chrome o TikTok, pero al final en el dispositivo se instala Rokarolla.
Después de iniciarse el troyano solicita acceso a las funciones de accesibilidad de Android, así como a notificaciones, SMS y llamadas. Ese acceso ayuda al malware a simular pulsaciones en la interfaz, leer datos de la pantalla y eludir las restricciones de seguridad estándar.
A continuación Rokarolla envía al servidor de control el perfil del dispositivo, incluyendo el modelo del teléfono, la versión de Android, el idioma del sistema, la configuración de pantalla, la carga de batería, la capacidad de almacenamiento y la memoria RAM disponible. Según Zimperium, con esos datos los operadores de la campaña crean un identificador único de la víctima.
El objetivo principal de Rokarolla está relacionado con los datos financieros. El troyano comprueba las aplicaciones instaladas según una lista de 217 objetivos y descarga un formulario de phishing adecuado para el banco o servicio de criptomonedas detectado. Cuando la víctima abre la aplicación correspondiente, Rokarolla muestra sobre la interfaz real una ventana falsa de inicio de sesión y captura nombres de usuario, contraseñas, datos de tarjetas bancarias y otra información de pago.
Las ventanas superpuestas no solo se usan para phishing. Con ellas Rokarolla puede robar el PIN o el patrón de desbloqueo, ocultar su propia actividad y mostrar pantallas falsas de instalación para bloquear las acciones del usuario. Además, el troyano intenta desactivar Google Play Protect, quitar el icono de la aplicación del menú, silenciar sonido y vibración, y evitar que la pantalla se apague.
Los especialistas de Zimperium contabilizaron 137 comandos en Rokarolla. Entre ellos están el robo de SMS y contactos, la recopilación de contactos de WhatsApp, el registro de pulsaciones de teclas, la lectura del contenido de la pantalla, la modificación del portapapeles, el bloqueo de llamadas entrantes y de avisos bancarios, así como capturas de pantalla periódicas enviadas al servidor. Esta combinación da a los operadores casi un control total del dispositivo infectado y abre la puerta a esquemas complejos de fraude financiero.
Zimperium no encontró Rokarolla en Google Play. Para reducir el riesgo, aconsejan a los usuarios no instalar archivos APK de fuentes externas si el editor no inspira plena confianza, y prestar especial atención a las solicitudes de acceso a las funciones de accesibilidad de Android, ya que los programas maliciosos suelen usar esos permisos para controlar la interfaz y confirmar acciones del sistema.