La famiglia di malware Android continua a evolversi verso capacità sempre più invasive e difficili da individuare. L’ultima minaccia identificata dai ricercatori di Zimperium prende il nome di RokaRolla e rappresenta uno degli esempi più avanzati di trojan bancario Android osservati negli ultimi mesi. La minaccia combina tecniche di furto delle credenziali, intercettazione delle comunicazioni, manipolazione delle transazioni in criptovalute e controllo remoto del dispositivo, arrivando a compromettere quasi ogni aspetto dell’utilizzo quotidiano dello smartphone. Il malware prende di mira almeno 217 applicazioni bancarie e crypto, sfruttando in modo massiccio i servizi di accessibilità di Android per ottenere privilegi estesi e aggirare molte delle difese integrate nel sistema operativo.
Cosa leggere
RokaRolla nasce come trojan bancario ma evolve verso il takeover completo
A differenza dei tradizionali malware bancari che si limitano a rubare username e password, RokaRolla è stato progettato per ottenere un controllo estremamente ampio sul dispositivo infetto. Una volta installato, il malware è in grado di intercettare credenziali di accesso, codici OTP, informazioni finanziarie e dati personali, ma anche di assumere il controllo delle funzioni principali dello smartphone. L’obiettivo degli operatori non è soltanto sottrarre denaro dai conti correnti delle vittime ma trasformare il dispositivo compromesso in una piattaforma completamente controllabile da remoto. Questa evoluzione riflette una tendenza sempre più evidente nel panorama delle minacce mobili, dove la compromissione iniziale rappresenta soltanto il primo passo verso attività più complesse di frode, sorveglianza e furto di identità.
I servizi di accessibilità diventano l’arma principale del malware
Il cuore operativo di RokaRolla risiede nell’abuso dei servizi di accessibilità di Android. Queste funzionalità sono state originariamente sviluppate per assistere utenti con disabilità visive o motorie, ma vengono frequentemente sfruttate dai malware perché consentono di osservare e controllare molte attività eseguite sul dispositivo.
Una volta ottenuti i permessi richiesti, RokaRolla può monitorare le schermate aperte, leggere i contenuti visualizzati, simulare interazioni dell’utente e acquisire informazioni sensibili senza ulteriori autorizzazioni. Grazie a questo approccio il malware riesce a bypassare numerosi meccanismi di sicurezza tradizionali e a operare in modo estremamente discreto. L’abuso dell’accessibilità continua a rappresentare una delle tecniche più efficaci nel panorama delle minacce Android contemporanee.
Oltre 217 applicazioni finanziarie nel mirino
L’analisi effettuata dai ricercatori mostra che il malware prende di mira almeno 217 applicazioni di banking e criptovalute. Quando l’utente avvia una delle app monitorate, RokaRolla scarica dal proprio server un overlay HTML progettato per imitare perfettamente l’interfaccia originale dell’applicazione. La schermata fraudolenta viene sovrapposta a quella legittima e induce la vittima a inserire credenziali, dati di pagamento, codici di autenticazione e altre informazioni sensibili. Poiché l’interfaccia appare identica a quella autentica, l’utente raramente si accorge della compromissione. Questa tecnica di overlay attack rimane una delle più utilizzate dai trojan bancari Android e continua a produrre risultati efficaci nonostante i miglioramenti introdotti nelle versioni più recenti del sistema operativo.
Furto di PIN e credenziali della schermata di blocco
Una delle caratteristiche più preoccupanti di RokaRolla riguarda la capacità di rubare direttamente le informazioni utilizzate per sbloccare il dispositivo. Il malware è in grado di visualizzare una falsa schermata di blocco che replica fedelmente quella del sistema Android. Quando la vittima inserisce il proprio PIN, il pattern di sblocco o la password, le informazioni vengono immediatamente trasmesse agli operatori del malware.
Il possesso di queste credenziali aumenta enormemente il valore dell’infezione perché consente agli attaccanti di superare le protezioni fisiche del dispositivo e accedere a dati normalmente protetti. Questa capacità distingue RokaRolla da molte altre famiglie di malware mobili che si concentrano esclusivamente sul furto di credenziali bancarie.
Intercettazione degli SMS e dei codici OTP
Il malware dispone inoltre di funzionalità avanzate dedicate alla gestione degli SMS. RokaRolla può leggere tutti i messaggi in arrivo, inviare comunicazioni per conto della vittima e persino diventare l’applicazione predefinita per la gestione degli SMS. Questa capacità è particolarmente importante perché consente agli attaccanti di intercettare i codici OTP utilizzati dai sistemi di autenticazione a due fattori.
Anche quando una banca o un exchange di criptovalute richiedono una verifica aggiuntiva tramite SMS, il malware è quindi in grado di acquisire il codice necessario per completare la transazione fraudolenta. L’intercettazione degli OTP continua a essere una delle funzionalità più richieste dagli operatori di malware finanziari poiché permette di aggirare molti sistemi di protezione degli account.
L’infezione parte da false applicazioni popolari
La distribuzione di RokaRolla avviene principalmente attraverso siti web malevoli che imitano servizi e applicazioni molto conosciute. Le vittime vengono convinte a scaricare file che si presentano come versioni di TikTok, Google Chrome o altri software popolari. Il primo componente installato è un dropper che si maschera da Google Play Protect, inducendo l’utente a concedere autorizzazioni elevate. Dopo aver ottenuto i permessi di accessibilità, il dropper scarica e installa il payload principale del malware. Questa catena di infezione sfrutta tecniche di ingegneria sociale ben collaudate e dimostra ancora una volta l’importanza di evitare installazioni provenienti da fonti esterne agli store ufficiali.
Disattivazione di Google Play Protect e persistenza
Una volta attivo sul dispositivo, RokaRolla riceve dai propri server una serie di istruzioni che includono anche la disattivazione di Google Play Protect, una delle principali difese integrate nell’ecosistema Android. Eliminando questo livello di protezione, il malware riduce drasticamente le probabilità di essere individuato e rimosso automaticamente. La comunicazione con l’infrastruttura di comando e controllo avviene attraverso connessioni HTTPS e utilizza domini di backup che consentono al malware di mantenere la connettività anche in caso di blocco dei server principali. Questa architettura aumenta la resilienza dell’operazione criminale e rende più complessa la neutralizzazione dell’infrastruttura utilizzata dagli attaccanti.
Screenshot, keylogging e sorveglianza continua
RokaRolla integra funzionalità di keylogging e monitoraggio dell’interfaccia utente che permettono di registrare praticamente ogni attività svolta dalla vittima. Il malware cattura ciò che viene digitato, monitora le notifiche ricevute e raccoglie informazioni sui contatti presenti nel dispositivo. Per la raccolta delle immagini dello schermo non utilizza i tradizionali sistemi di registrazione video, che potrebbero generare avvisi visibili all’utente, ma sfrutta nuovamente i servizi di accessibilità per acquisire screenshot in modo discreto. Le immagini vengono poi compresse e inviate ai server degli attaccanti. Questa tecnica consente di osservare il comportamento dell’utente quasi in tempo reale senza attivare meccanismi di allerta evidenti.
Manipolazione dei wallet crypto attraverso la clipboard
Tra le funzioni più pericolose emerge la capacità di manipolare il contenuto della clipboard. Quando una vittima copia l’indirizzo di un wallet di criptovalute per effettuare un trasferimento, RokaRolla può sostituire automaticamente l’indirizzo originale con uno controllato dagli attaccanti. Poiché gli indirizzi crypto sono generalmente lunghi e difficili da verificare manualmente, molte vittime non si accorgono della modifica e completano ugualmente la transazione. Questa tecnica, nota come clipboard hijacking, viene utilizzata sempre più spesso dai malware finanziari perché permette di dirottare fondi senza dover compromettere direttamente gli account bancari o gli exchange.
Oltre 137 comandi remoti per controllare il dispositivo
L’analisi tecnica ha identificato almeno 137 comandi remoti supportati da RokaRolla. Gli operatori possono gestire file, eseguire operazioni sul sistema, controllare chiamate telefoniche, inviare messaggi e modificare diverse impostazioni del dispositivo. Il malware è anche in grado di silenziare il telefono, disattivare le vibrazioni e mantenere lo schermo acceso per facilitare operazioni remote senza attirare l’attenzione dell’utente. Un numero così elevato di funzionalità avvicina RokaRolla a un vero e proprio RAT Android piuttosto che a un semplice trojan bancario. Questa versatilità consente agli attaccanti di adattare le proprie attività a diversi obiettivi, dal furto finanziario alla sorveglianza prolungata.
RokaRolla conferma l’evoluzione dei malware Android
La comparsa di RokaRolla evidenzia il rapido aumento della sofisticazione nel panorama dei malware mobili. L’integrazione di overlay fraudolenti, furto di credenziali, intercettazione degli SMS, clipboard hijacking, keylogging e controllo remoto all’interno di un’unica piattaforma rende questa minaccia particolarmente pericolosa per utenti privati e professionisti. Per ridurre il rischio di compromissione resta fondamentale installare applicazioni esclusivamente da fonti affidabili, mantenere attivo Google Play Protect, verificare attentamente le richieste di accessibilità e monitorare eventuali comportamenti anomali del dispositivo. In uno scenario in cui i malware Android puntano sempre più al controllo totale dello smartphone, la consapevolezza dell’utente continua a rappresentare una delle difese più efficaci.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
