Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Troyano bancario Rokarolla

Troyano bancario Rokarolla

Por Mezo en Malware móvil, Troyano bancario
Traducir a:

Investigadores de ciberseguridad han identificado un nuevo troyano bancario para Android conocido como Rokarolla, llamado así por su infraestructura de comando y control (C2). Este malware está diseñado para atacar una amplia gama de servicios financieros, con la capacidad de infectar 217 aplicaciones bancarias y de criptomonedas. Equipado con 137 comandos remotos, Rokarolla proporciona a los ciberdelincuentes un control excepcional sobre los dispositivos comprometidos.

Una vez instalado, el malware puede eliminar las protecciones de la pantalla de bloqueo, interceptar y enviar mensajes SMS, manipular el contenido del portapapeles para redirigir las transferencias de criptomonedas e incluso desactivar los mecanismos de seguridad integrados de Google.

Distribución encubierta mediante aplicaciones falsas

Rokarolla se distribuye principalmente a través de sitios web maliciosos que se hacen pasar por aplicaciones legítimas y populares, como TikTok y Google Chrome.

Las víctimas descargan inicialmente una aplicación maliciosa que suplanta la identidad de Google Play Protect. Aprovechando esta apariencia de confianza, la aplicación persuade a los usuarios para que otorguen permisos al Servicio de Accesibilidad y facilita la instalación del software malicioso. Tras su ejecución, uno de los comandos de Rokarolla desactiva inmediatamente Play Protect, eliminando una importante capa de seguridad de Android.

Ataques de superposición diseñados para robar credenciales

El robo de credenciales se lleva a cabo mediante sofisticados ataques de superposición. Rokarolla obtiene una lista de aplicaciones objetivo de su servidor de comandos y descarga páginas de inicio de sesión HTML fraudulentas correspondientes a dichas aplicaciones. Estas interfaces falsificadas se almacenan localmente y se muestran cada vez que la víctima abre una aplicación legítima de banca o criptomonedas.

Las pantallas falsas están diseñadas para capturar toda la información ingresada por el usuario, incluyendo nombres de usuario, contraseñas y datos de tarjetas de pago. Los investigadores observaron un ejemplo que imitaba de forma convincente la aplicación bancaria "imagin".

El malware también implementa una superposición de pantalla de bloqueo de Android falsificada capaz de robar PIN, patrones y contraseñas. Esta capacidad permite a los atacantes mantener el acceso y el control incluso cuando el dispositivo está bloqueado.

Robo de credenciales, vigilancia y fraude financiero en un solo paquete.

Rokarolla combina múltiples mecanismos de vigilancia y robo para maximizar la recopilación de datos y las ganancias financieras:

  • Las capacidades completas de monitorización y envío de mensajes SMS permiten interceptar los códigos de acceso de un solo uso empleados para la autenticación bancaria y la aprobación de transacciones.
  • Al configurarse como la aplicación predeterminada de mensajería y llamadas del dispositivo, el malware puede bloquear las llamadas entrantes, impidiendo potencialmente que las advertencias de fraude lleguen a las víctimas.
  • Las funciones integradas de registro de pulsaciones de teclas y de pantalla capturan la actividad del usuario, mientras que los contactos y las notificaciones se recopilan continuamente.
  • La manipulación del portapapeles reemplaza silenciosamente las direcciones de monederos de criptomonedas copiadas con direcciones controladas por el atacante, desviando los fondos sin el conocimiento de la víctima.

Las técnicas de vigilancia sigilosas evaden la detección.

A diferencia de muchas familias de malware para Android que se basan en la grabación de pantalla mediante MediaProjection, Rokarolla adopta una estrategia de vigilancia más discreta. En lugar de activar notificaciones de grabación visibles, captura capturas de pantalla a través de los Servicios de Accesibilidad, las comprime en archivos PNG y las transmite individualmente a sus operadores.

Este enfoque reduce la probabilidad de detección, al tiempo que proporciona a los atacantes una visión detallada de la actividad del usuario. En comparación con las implementaciones ocultas de VNC utilizadas por familias de malware como HOOK y Klopatra, el monitoreo basado en capturas de pantalla de Rokarolla es más sencillo y discreto.

Infraestructura resiliente y una tendencia creciente del malware.

El malware está diseñado para resistir intentos de interrupción. Incorpora múltiples dominios de comando y control de respaldo, y los operadores pueden asignar servidores adicionales dinámicamente cuando sea necesario. Por lo tanto, deshabilitar un solo servidor de comando tiene un impacto mínimo en el funcionamiento general.

Su extenso conjunto de comandos supera los 107 comandos documentados previamente en el troyano bancario HOOK, lo que refleja la creciente sofisticación del malware bancario para Android observada a lo largo de 2026. La metodología de ataque sigue un patrón familiar que se ha vuelto cada vez más común:

  • Distribución mediante instaladores de aplicaciones falsos.
  • Abuso de los servicios de accesibilidad para la escalada de privilegios y el control de dispositivos.
  • Uso de superposiciones basadas en HTML para recopilar credenciales e información confidencial.

Las medidas defensivas siguen siendo cruciales.

Dado que Rokarolla es un malware y no una vulnerabilidad de software, no existe ningún parche de seguridad capaz de eliminar la amenaza. La protección depende de seguir las prácticas de seguridad de Android establecidas.

Las aplicaciones solo deben instalarse desde la tienda oficial de Google Play, Google Play Protect debe permanecer activado en todo momento y cualquier solicitud inesperada de permisos de accesibilidad debe considerarse una señal de alerta importante. El acceso a la accesibilidad constituye la base de la cadena de ataque de Rokarolla y habilita muchas de sus capacidades más peligrosas.

Se desconoce la autoría.

Al momento de redactar este informe, Rokarolla no ha sido vinculado a ningún actor de amenazas o grupo ciberdelincuente identificado públicamente. Sin embargo, su diseño demuestra claramente un esfuerzo deliberado por eludir las protecciones en las que se anima a los usuarios de Android a confiar, incluyendo Play Protect, las medidas de seguridad de la pantalla de bloqueo y otros controles de seguridad integrados.

Las capacidades de este malware ponen de manifiesto la continua evolución de los troyanos bancarios para Android y la creciente sofisticación de las amenazas móviles con fines financieros.

Mas Visto

Cargando...