Rokarolla, il nuovo trojan Android che minaccia 217 app bancarie e crypto

Un nuovo malware per Android denominato Rokarolla sta emergendo come una minaccia significativa per gli utenti che utilizzano applicazioni bancarie o di criptovalute. Secondo quanto riportato da ricercatori di sicurezza di una società specializzata, il trojan è in grado di prendere il controllo completo di un dispositivo compromesso, sfruttando una vasta gamma di 137 comandi per rubare dati finanziari e credenziali di accesso. La distribuzione avviene tramite siti web malevoli che promettono versioni fasulle di applicazioni popolari come Google Chrome o TikTok, ingannando gli utenti con false promesse di aggiornamenti o installazioni.

Una volta installato, Rokarolla si comporta come un dropper, un tipo di malware che scarica e installa ulteriori componenti dannosi sul dispositivo. Il trojan si spaccia per Google Play Protect, il sistema di sicurezza integrato di Android, offrendo agli utenti l’opzione di installare Chrome o TikTok, che in realtà includono il malware. Durante il processo di installazione, Rokarolla richiede autorizzazioni avanzate, tra cui l’accesso al servizio di Accessibilità, alle notifiche, agli SMS e alle chiamate. Queste autorizzazioni gli permettono di operare in modo invisibile e di raccogliere informazioni sensibili senza che l’utente se ne accorga.

Come Rokarolla si diffonde e si nasconde sul dispositivo

La diffusione di Rokarolla avviene principalmente attraverso siti web malevoli che imitano pagine ufficiali di download. Gli utenti che cercano di scaricare applicazioni popolari come Google Chrome o TikTok potrebbero imbattersi in questi siti, che offrono versioni fasulle ma infette del software. Una volta avviato il download, il malware si installa sul dispositivo e inizia a operare in background, sfruttando tecniche di evasione per evitare di essere rilevato.

Uno dei principali meccanismi di evasione utilizzati da Rokarolla è la disattivazione di Google Play Protect, il sistema di sicurezza integrato di Android. In questo modo, il malware riduce le probabilità di essere rilevato dalle difese native del sistema operativo. Inoltre, Rokarolla nasconde la propria icona dal drawer delle applicazioni, rendendo più difficile per l’utente identificare la presenza del trojan. Il malware è anche in grado di silenziare audio e vibrazioni, oltre a mantenere lo schermo del dispositivo sempre acceso, impedendo così allo schermo di spegnersi e rendendo più difficile per l’utente notare comportamenti sospetti.

Le tecniche di furto dei dati finanziari

L’obiettivo principale di Rokarolla sembra essere il furto di informazioni finanziarie. Per raggiungere questo scopo, il malware si connette a un server di comando e controllo (C2) e invia un profilo di base del dispositivo compromesso. Questo profilo include dettagli come il modello del telefono, la versione di Android installata, la lingua, le caratteristiche dello schermo, il livello della batteria, la capacità di archiviazione e la RAM disponibile. Queste informazioni vengono utilizzate per generare un identificatore univoco per ogni vittima, permettendo ai cybercriminali di personalizzare gli attacchi.

Una volta ottenuto l’accesso al dispositivo, Rokarolla verifica se sono installate alcune delle 217 applicazioni bancarie o di criptovalute prese di mira. Se l’utente apre una di queste applicazioni, il malware sovrappone una falsa schermata di login per rubare le credenziali di accesso, i dati delle carte di credito e altre informazioni finanziarie. Questo metodo, noto come overlay phishing, è particolarmente efficace perché gli utenti sono abituati a inserire le proprie credenziali su queste applicazioni, rendendo meno sospetto l’inserimento dei dati su una schermata apparentemente legittima.

Le funzionalità avanzate di Rokarolla: keylogger e controllo remoto

Oltre al furto di dati finanziari, Rokarolla è dotato di funzionalità avanzate che gli permettono di operare in modo ancora più subdolo. Il malware include un keylogger, un componente che registra continuamente l’input dell’utente, inclusi i caratteri digitati sulla tastiera virtuale. Questo strumento consente ai cybercriminali di raccogliere non solo le credenziali di accesso, ma anche altre informazioni sensibili come i codici di verifica a due fattori (2FA) inviati tramite SMS.

Un’altra caratteristica preoccupante di Rokarolla è la sua capacità di operare anche quando il dispositivo è bloccato. Il malware utilizza overlay fasulli per catturare il PIN o lo schema di sblocco dello schermo, permettendo ai criminali di accedere al dispositivo anche quando è protetto da un blocco. Inoltre, Rokarolla può nascondere le proprie attività malevole sovrapponendo schermate di installazione fasulle, che distraggono l’utente e impediscono l’interazione con il dispositivo.

L’infrastruttura di comando e controllo e l’identificazione delle vittime

Il server di comando e controllo (C2) di Rokarolla gioca un ruolo cruciale nell’orchestrazione degli attacchi. Dopo aver compromesso un dispositivo, il malware si connette al server C2 e invia un profilo dettagliato del dispositivo. Questo profilo viene utilizzato per generare un identificatore univoco per ogni vittima, permettendo ai cybercriminali di personalizzare gli attacchi e di evitare rilevamenti da parte delle soluzioni di sicurezza.

La comunicazione con il server C2 avviene tramite una serie di 137 comandi, che il malware può utilizzare per eseguire una vasta gamma di azioni malevole. Questi comandi includono il furto di dati, l’invio di SMS, la registrazione di audio e video, e persino il controllo remoto del dispositivo. Secondo quanto riportato dai ricercatori, i comandi disponibili sono stati documentati in un repository pubblico, offrendo una visione dettagliata delle capacità del malware.

Le applicazioni prese di mira e i rischi per gli utenti

Rokarolla prende di mira un elenco di 217 applicazioni bancarie e di criptovalute, che includono sia applicazioni popolari che servizi meno noti. Tra le applicazioni bancarie colpite ci sono quelle di istituti finanziari internazionali, mentre tra le applicazioni di criptovalute sono inclusi sia exchange che wallet digitali. Questo ampio spettro di applicazioni rende Rokarolla una minaccia significativa per una vasta gamma di utenti, indipendentemente dal paese o dal tipo di servizi finanziari utilizzati.

Per gli utenti che utilizzano queste applicazioni, il rischio di subire un attacco di phishing o di furto di dati è particolarmente elevato. Il malware è in grado di sovrapporre schermate di login fasulle sulle applicazioni legittime, ingannando gli utenti e convincendoli a inserire le proprie credenziali su interfacce controllate dai cybercriminali. Inoltre, la capacità di operare in background e di nascondere la propria presenza rende Rokarolla particolarmente difficile da rilevare, anche per gli utenti più attenti.

Come proteggersi da Rokarolla e da minacce simili

La prevenzione rimane la migliore difesa contro minacce come Rokarolla. Gli utenti dovrebbero evitare di scaricare applicazioni da fonti non ufficiali, come siti web di terze parti o link ricevuti tramite SMS o email. È fondamentale scaricare applicazioni esclusivamente da store ufficiali come Google Play Store, anche se ciò non garantisce una protezione assoluta, data la presenza di malware che riescono a infiltrarsi anche in queste piattaforme.

Un altro consiglio importante è quello di prestare attenzione alle autorizzazioni richieste dalle applicazioni. Se un’applicazione bancaria o finanziaria richiede autorizzazioni non correlate alle sue funzionalità, come l’accesso a SMS o alla rubrica, è opportuno non procedere con l’installazione. Inoltre, è consigliabile utilizzare soluzioni di sicurezza affidabili, come antivirus e antimalware, che possono rilevare e bloccare minacce come Rokarolla prima che causino danni.

Gli utenti dovrebbero anche considerare l’attivazione di funzionalità di sicurezza aggiuntive, come l’autenticazione a due fattori (2FA) per le applicazioni finanziarie. Questo riduce il rischio che i cybercriminali possano accedere ai conti anche se riescono a rubare le credenziali di accesso. Infine, è importante mantenere il proprio dispositivo aggiornato con le ultime patch di sicurezza, poiché molti attacchi sfruttano vulnerabilità note che potrebbero essere già state risolte dagli aggiornamenti.

Cosa devono fare le aziende e gli sviluppatori per mitigare il rischio

Anche le aziende e gli sviluppatori hanno un ruolo fondamentale nella lotta contro minacce come Rokarolla. Le istituzioni finanziarie e i fornitori di servizi di criptovalute dovrebbero monitorare costantemente le applicazioni di terze parti che utilizzano i loro servizi e segnalare eventuali comportamenti sospetti. Inoltre, è importante educare gli utenti sui rischi legati al download di applicazioni da fonti non ufficiali e sulle best practice per la sicurezza dei dispositivi.

Gli sviluppatori di applicazioni finanziarie dovrebbero implementare misure di sicurezza aggiuntive, come la rilevazione di overlay fasulli o l’utilizzo di tecniche di autenticazione avanzate. Inoltre, è consigliabile collaborare con ricercatori di sicurezza e società specializzate per identificare e bloccare minacce emergenti come Rokarolla. La condivisione di informazioni tra aziende e ricercatori può aiutare a sviluppare difese più efficaci contro i malware che prendono di mira il settore finanziario.

Infine, le aziende dovrebbero considerare l’implementazione di soluzioni di sicurezza enterprise che possano rilevare e bloccare minacce su larga scala. Queste soluzioni possono essere integrate nei sistemi di gestione dei dispositivi mobili (MDM) per proteggere i dispositivi dei dipendenti che accedono a dati sensibili. La prevenzione e la risposta rapida sono fondamentali per limitare l’impatto di attacchi come quelli portati avanti da Rokarolla.

Il futuro delle minacce mobili e le tendenze da monitorare

Rokarolla rappresenta un’evoluzione significativa nelle tecniche utilizzate dai cybercriminali per colpire gli utenti mobili. La combinazione di overlay phishing, keylogger e controllo remoto dimostra come i malware moderni stiano diventando sempre più sofisticati e pericolosi. Con l’aumento dell’uso di applicazioni finanziarie e di criptovalute sui dispositivi mobili, è probabile che minacce come Rokarolla continueranno a crescere in numero e complessità.

Un’altra tendenza da monitorare è l’uso di tecniche di evasione sempre più avanzate, come la disattivazione di Google Play Protect o la generazione di identificatori univoci per ogni vittima. Questi meccanismi rendono più difficile per le soluzioni di sicurezza rilevare e bloccare il malware, aumentando il rischio per gli utenti. Inoltre, l’utilizzo di server di comando e controllo con una vasta gamma di comandi suggerisce che i cybercriminali stanno investendo risorse significative nello sviluppo di minacce mobili.

Per gli utenti e le aziende, la consapevolezza delle minacce e l’adozione di best practice di sicurezza rimangono fondamentali. Investire in soluzioni di sicurezza affidabili, mantenere i dispositivi aggiornati e educare gli utenti sui rischi sono passaggi essenziali per proteggersi da minacce come Rokarolla. Nel frattempo, i ricercatori di sicurezza continueranno a monitorare l’evoluzione di questi malware, sviluppando nuove difese per contrastare le minacce emergenti.