Beveiligingsonderzoekers van Zimperium’s zLabs hebben een nieuwe Android-banktrojan gedocumenteerd, Rokarolladat zich richt op 217 bank- en cryptocurrency-apps en 137 externe opdrachten bevat.
Samen geven ze een operator bijna volledige controle over een geïnfecteerde telefoon: hij verwijdert de pincodes van het vergrendelscherm, leest en verzendt sms-berichten, herschrijft het klembord om cryptobetalingen om te leiden en schakelt Google Play Protect uit.
Rokarolla, genoemd naar zijn command-and-control-servers, verspreidt zich via kwaadaardige websites die zich voordoen als bekende apps zoals TikTok en Chrome.
Het eerste dat een slachtoffer installeert, is een dropper die zich voordoet als Google Play Protect. Het gebruikt die vermomming om de payload te installeren en toegankelijkheidstoegang te verkrijgen. Zodra de malware actief is, schakelt een van de opdrachten Play Protect uit.
De diefstal verloopt via overlays. Rokarolla haalt een doellijst van zijn server en downloadt voor elke als actief gemarkeerde app een nep-HTML-inlogpagina en slaat deze op in een lokale database. Wanneer het slachtoffer de echte bank- of portemonnee-app opent, plaatst de malware de neppagina bovenaan en legt alles vast wat erop is getypt, inclusief kaartgegevens.
Het rapport toont zo’n neppagina die de bankapp ‘imagin’ nabootst. Een aparte overlay bootst het Android-vergrendelingsscherm na om de pincode, het patroon of het wachtwoord vast te leggen, waardoor de operator de telefoon kan bedienen, zelfs als deze is vergrendeld.
Het leest elke sms op het apparaat en kan zelf berichten verzenden, wat voldoende is om de eenmalige sms-codes te bemachtigen die banken gebruiken om logins en transacties goed te keuren. Door zichzelf tot de standaardapp van de telefoon te maken voor sms’en en bellen, kan hij ook inkomende oproepen blokkeren, zodat een waarschuwingsoproep van de bank nooit doorkomt.
Een keylogger en schermlogger registreren wat de gebruiker typt en ziet, en de trojan schraapt contacten en leest meldingen. Het klembord wordt stilzwijgend herschreven, waarbij de portefeuilleadressen van aanvallers worden uitgewisseld, zodat een gekopieerde cryptobetaling op de verkeerde rekening terechtkomt.
Voor surveillance slaat Rokarolla de gebruikelijke MediaProjection-schermcasting over, die een zichtbare opnameprompt genereert, en maakt in plaats daarvan schermafbeeldingen via Toegankelijkheid, comprimeert deze naar PNG en verzendt ze frame voor frame. Die momentopnamebenadering is eenvoudiger en stiller dan de live verborgen VNC die je ziet in families als Klopatra.
De malware beschikt over meerdere C2-reservedomeinen en kan direct nieuwe domeinen krijgen, dus het verwijderen van een enkele server heeft weinig zin. Er zijn 137 commando’s meer dan de 107 Zimperium die werden geteld in de HOOK-trojan, en het draaiboek is hetzelfde als dat dat door een golf van 2026 Android-bankiers loopt: droppers van nep-apps, misbruik van toegankelijkheid en HTML-overlays.
Er is hier geen patch om toe te passen. Dit is malware en geen productfout, dus de verdedigingen zijn de standaard voor Android-bankiers. Installeer alleen apps via Google Play, laat Play Protect ingeschakeld en behandel elk onverwacht toegankelijkheidsverzoek als een alarmsignaal, aangezien die ene toestemming de hele aanvalsketen aanstuurt.
Zimperium zegt dat zijn eigen producten de familie detecteren, en dat de indicatoren van een compromis zich in zijn GitHub-repository bevinden.
Zimperium bond Rokarolla niet aan een genoemde groep. Wat de build laat zien is de bedoeling: een bankier die is samengesteld om de exacte beveiligingen te verslaan waarop gebruikers moeten vertrouwen, van Play Protect tot aan het vergrendelscherm.
