// SMARTWORLD — CYBERSECURITY
Rokarolla, il malware Android che bypassa il 2FA e svuota conti
Un nuovo malware Android risponde al nome di Rokarolla e, nonostante venga classificato come banking trojan, il suo obiettivo va ben oltre il semplice furto di credenziali bancarie.
I ricercatori di Zimperium lo hanno analizzato in dettaglio, e ciò che emerge è uno strumento di controllo remoto totale dello smartphone, capace di intercettare comunicazioni, raccogliere dati sensibili e svuotare conti correnti o wallet di criptovalute.
La minaccia è progettata per colpire 217 applicazioni tra app bancarie e di criptovalute, e dispone di un arsenale da 137 comandi distinti.
Rokarolla si diffonde tramite app false distribuite fuori dagli store ufficiali. I campioni analizzati si presentano camuffati da Google Play Protect e offrono all'utente la possibilità di installare Chrome o TikTok, che in realtà nascondono il payload del malware. Una volta installata, l'app chiede l'accesso ai Servizi di Accessibilità di Android: è qui che avviene il salto di qualità dell'infezione.
Con quei permessi concessi, Rokarolla ottiene la capacità di simulare tocchi sullo schermo, autorizzare richieste di permessi in autonomia e monitorare tutto ciò che l'utente fa sul dispositivo.
Per rendere la propria presenza più difficile da rilevare, disattiva Google Play Protect, rimuove la propria icona dal cassetto delle app, silenzia il dispositivo e mantiene lo schermo sempre attivo.
Le funzionalità malevole attivate dopo questa fase includono:
Tutti i dati vengono inviati a un'infrastruttura di comando e controllo remota, che consente agli operatori di adattare le proprie azioni in tempo reale.
Uno degli aspetti più insidiosi è l'uso delle cosiddette schermate overlay: quando l'utente apre la propria app bancaria, Rokarolla sovrappone una finestra di autenticazione falsa, praticamente identica all'originale, che cattura username, password e PIN prima ancora che l'utente si accorga di qualcosa.
La cosa che preoccupa di più, però, è la capacità di bypassare l'autenticazione a due fattori, in quanto il malware intercetta SMS e notifiche contenenti codici OTP e codici di conferma, permettendo agli attaccanti di completare le transazioni fraudolente senza che la vittima se ne accorga immediatamente.