Los investigadores de seguridad de zLabs de Zimperium han documentado un nuevo troyano bancario para Android, Rokarollaque apunta a 217 aplicaciones bancarias y de criptomonedas y contiene 137 comandos remotos.
Juntos, le dan al operador un control casi total de un teléfono infectado: levanta los PIN de la pantalla de bloqueo, lee y envía SMS, reescribe el portapapeles para redirigir los pagos criptográficos y desactiva Google Play Protect.
Rokarollaque lleva el nombre de sus servidores de comando y control, se propaga a través de sitios web maliciosos que se hacen pasar por aplicaciones conocidas como TikTok y Chrome.
Lo primero que instala la víctima es un cuentagotas que se hace pasar por Google Play Protect. Utiliza ese disfraz para instalar la carga útil y obtener acceso a Accesibilidad. Una vez que el malware se está ejecutando, uno de sus comandos desactiva Play Protect.
El robo discurre por superposiciones. Rokarolla extrae una lista de objetivos de su servidor y, para cada aplicación marcada como activa, descarga una página de inicio de sesión HTML falsa y la almacena en una base de datos local. Cuando la víctima abre la aplicación bancaria o de billetera real, el malware coloca la página falsa encima y captura todo lo escrito en ella, incluidos los detalles de la tarjeta.
El informe muestra una de esas páginas falsas que imita la aplicación bancaria 'imagin'. Una superposición separada imita la pantalla de bloqueo de Android para capturar el PIN, patrón o contraseña, lo que permite al operador controlar el teléfono incluso cuando está bloqueado.
Lee todos los SMS del dispositivo y puede enviar mensajes él mismo, lo que es suficiente para obtener los códigos SMS únicos que los bancos utilizan para aprobar inicios de sesión y transacciones. Al convertirse en la aplicación predeterminada del teléfono para mensajes de texto y llamadas, también puede bloquear las llamadas entrantes, por lo que nunca llega una llamada de advertencia del banco.
Un registrador de teclas y un registrador de pantalla registran lo que el usuario escribe y ve, y el troyano rastrea contactos y lee notificaciones. El portapapeles se reescribe silenciosamente, intercambiando las direcciones de la billetera del atacante para que un pago criptográfico copiado llegue a la cuenta equivocada.
Para la vigilancia, Rokarolla se salta la transmisión de pantalla habitual de MediaProjection, que genera un mensaje de grabación visible, y en su lugar toma capturas de pantalla a través de Accesibilidad, las comprime a PNG y las envía un cuadro a la vez. Ese enfoque instantáneo es más simple y silencioso que el VNC oculto en vivo que se ve en familias como Klopatra.
El malware lleva múltiples dominios C2 alternativos y se pueden entregar nuevos sobre la marcha, por lo que utilizar un solo servidor no sirve de mucho. Sus 137 comandos superan en número a los 107 Zimperium contados en el troyano HOOK, y el manual es el mismo que se ejecuta en un ola de banqueros de Android de 2026: droppers de aplicaciones falsas, abuso de accesibilidad y superposiciones HTML.
No hay ningún parche para aplicar aquí. Esto es malware, no un defecto del producto, por lo que las defensas son las estándar para los banqueros de Android. Instale aplicaciones solo desde Google Play, deje Play Protect activado y trate cualquier solicitud de accesibilidad inesperada como una señal de alerta, ya que ese permiso impulsa toda la cadena de ataque.
Zimperium dice que sus propios productos detectan a la familia y los indicadores de compromiso están en su repositorio de GitHub.
Zimperium no vinculó a Rokarolla a ningún grupo determinado. Lo que muestra la construcción es intencional: un banquero creado para vencer las protecciones exactas en las que se les pide a los usuarios que confíen, desde Play Protect hasta la pantalla de bloqueo.
