Un nuovo trojan bancario chiamato Rokarolla sta mettendo nel mirino oltre 200 applicazioni tra banche e piattaforme di criptovalute, sfruttando un meccanismo tanto subdolo quanto efficace. I ricercatori che lo hanno scoperto parlano di un malware capace di mostrare false pagine di accesso per rubare le credenziali e di controllare lo smartphone da remoto, perfino quando il dispositivo è bloccato. Le applicazioni colpite sono 217, e l’arsenale a disposizione dei criminali conta ben 137 comandi diversi.
La diffusione di questo malware avviene tramite siti web malevoli, vere e proprie copie identiche delle pagine ufficiali per scaricare Google Chrome o TikTok. Chi naviga è convinto di installare un aggiornamento del browser o una versione recente dell’app dei video, ma in realtà si ritrova un virus sullo smartphone Android. Tutto comincia con un programma chiamato dropper, che da solo non causa danni. Il suo unico scopo è infilare di nascosto un altro virus sul telefono della vittima, aggirando le protezioni di sicurezza di Android. Una volta installato, fa partire il vero software dannoso, di solito molto più pericoloso.
Come Rokarolla riesce a infilarsi nello smartphone
Dopo che l’esca è stata installata, è il dropper stesso a proporre l’installazione di Chrome o TikTok. Se l’utente accetta, scarica un’applicazione fasulla che nasconde il codice di Rokarolla. Questa installazione in due tempi, molto diffusa nel mondo della criminalità informatica, permette ai pirati di aggirare i meccanismi di sicurezza di Google. Appena viene avviato, il malware chiede i permessi di accessibilità di Android, oltre all’accesso a notifiche, SMS e chiamate. Sono proprio questi accessi, concessi dall’utente, a permettergli di portare a termine le sue operazioni.
I parametri di accessibilità, pensati in origine per aiutare le persone ipovedenti a usare lo smartphone, vengono regolarmente sfruttati dai software malevoli. È lo stesso modo di operare di altri malware recenti come Snowblind o Perseus. Nel caso di Rokarolla, questi permessi danno al virus il potere di interagire con qualsiasi altra applicazione installata sul telefono. A quel punto il malware si collega a server remoti per ricevere una serie di istruzioni, tra cui la lista completa dei suoi bersagli.
Un arsenale completo e sofisticato
La lista comprende istituti bancari sparsi in tutto il mondo e portafogli per conservare le criptovalute, e secondo i ricercatori può essere modificata in qualsiasi momento dai criminali. Per ognuna di queste app il virus scarica una falsa pagina di accesso in formato HTML e la salva in un database locale sul dispositivo. Quando la vittima apre la sua app bancaria, Rokarolla mostra all’istante la pagina fasulla in sovrapposizione. La persona è convinta di trovarsi sull’applicazione vera della propria banca mentre digita credenziali, password e coordinate bancarie. Il virus si impossessa di tutto e invia le informazioni ai server degli hacker, che possono usarle per entrare nel conto e fare bonifici fraudolenti.
A rendere Rokarolla così temibile sono i suoi 137 comandi distinti, che permettono di pilotare il dispositivo da remoto con precisione chirurgica. Il virus può rubare tutti gli SMS presenti, intercettando i codici di autenticazione inviati via messaggio dalla banca. Può anche estrarre i contatti WhatsApp, registrare tutto ciò che viene digitato sulla tastiera e spiare l’intero contenuto mostrato a schermo. Agisce perfino a telefono bloccato, perché per prima cosa si impossessa del codice di sblocco mostrando una schermata falsa sopra l’interfaccia reale di Android.
Per restare invisibile, il virus accumula tattiche di evasione. Disattiva Google Play Protect già nei primi minuti dell’attacco, nasconde la propria icona nel cassetto delle applicazioni, toglie suono e vibrazioni al telefono e mantiene lo schermo sempre acceso così che i suoi processi in background non vengano mai interrotti. Nico Chiaraviglio, ingegnere di Zimperium, lo descrive come una nuova generazione di malware mobili capaci di orchestrare frodi finanziarie sofisticate mantenendo un controllo quasi totale del dispositivo compromesso. Gli approcci di sicurezza tradizionali basati solo sulle firme non bastano più a individuare una minaccia tanto dinamica.
Rokarolla non è stato trovato sul Google Play Store. Si propaga unicamente tramite file APK provenienti da siti di terze parti. Per proteggersi conviene quindi limitarsi alle app disponibili sullo store di Google e diffidare di qualsiasi richiesta di permesso di accessibilità da parte di un’applicazione appena installata.
