DeafNews
// 2 ZERO-DAY · 3 CVE · 3 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Malware

Rokarolla: il trojan Android che trasforma il telefono in prigione digitale

Published: Updated: By DeafSuite team 8 min read Malware
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Scoperto da Zimperium zLabs, il trojan Rokarolla usa 137 comandi e overlay falsi per isolare le vittime, rubare credenziali bancarie e neutralizzare ogni difesa standard.

I ricercatori di Zimperium zLabs hanno documentato il 16 giugno 2026 Rokarolla, un trojan Android che non si limita a rubare credenziali finanziarie ma trasforma il dispositivo compromesso in un ambiente controllato esclusivamente dall'attaccante. L'analisi tecnica rivela una catena di attacco multi-stadio con 137 comandi remoti, 217 app bancarie e di criptovalute nel mirino, e tecniche di isolamento attivo della vittima che invalidano le contromisure standard — dal MFA via SMS agli alert telefonici delle banche. Il malware rappresenta un salto qualitativo nel panorama delle minacce mobile: il controllo totale del dispositivo sostituisce il semplice harvesting di dati, rendendo inefficaci sia le difese tecniche tradizionali che le verifiche umane.

Punti chiave
  • Rokarolla targetta 217 app bancarie e di criptovalute con overlay HTML dinamici scaricati da server C2, intercettando credenziali in tempo reale durante l'uso legittimo dell'app.
  • Il trojan dispone di 137 comandi remoti — superiore ai 107 del trojan HOOK precedentemente documentato — per controllo persistente, blocco chiamate, muting audio e disabilitazione di Google Play Protect.
  • Un overlay fraudolento imita l'interfaccia di sblocco Android per catturare PIN, pattern e password anche a dispositivo bloccato, bypassando la protezione del lock screen.
  • La tecnica Pseudo-VNC permette screenshot continui attraverso Accessibility Services senza il prompt visibile di MediaProjection, eludendo il rilevamento da parte dell'utente.

Catena di infezione: il finto Google Play Protect che apre la porta

L'infezione inizia su siti malevoli che impersonano app legittime come Chrome e TikTok, secondo quanto documentato da Zimperium zLabs. Il dropper iniziale si maschera da Google Play Protect per indurre l'utente all'installazione del payload secondario. Una volta attivo, il malware abusa di Android Accessibility Services per ottenere permessi elevati, accesso a SMS, notifiche e controllo completo del dispositivo.

L'escalation via Accessibility non è un punto terminale ma il trampolino per una serie di tecniche di compromissione parallele. I ricercatori Vishnu Pratapagiri e Fernando Ortega hanno evidenziato che le capacità dannose includono "harvesting lock screen credentials, exfiltrating sensitive contact lists and SMS data, and utilizing keyloggers to continuously record user input". Il malware integra inoltre un keylogger, un UI logger e funzionalità di logging della clipboard per sostituire indirizzi wallet di criptovalute con quelli controllati dagli attaccanti.

La comunicazione con i server di comando e controllo avviene via HTTPS con domini fallback e meccanismi di aggiornamento dinamico della lista C2. Questa architettura garantisce resilienza contro il takedown e permette agli operatori di modificare rapidamente target e tattiche.

Victim isolation: quando il telefono smette di essere tuo

Il tratto distintivo di Rokarolla non è la sofisticazione tecnica individuale ma la loro orchestrazione verso un obiettivo specifico: l'isolamento attivo della vittima. Il malware blocca le chiamate in entrata, muta audio e vibrazioni, forza lo schermo sempre acceso per operazioni ininterrotte in background e disabilita Google Play Protect. Come ha osservato Jason Soroko, senior fellow di Sectigo: "The Rokarolla Trojan shifts focus from credential theft to victim isolation...This strategy, which represents an evolution in threats, traps the user in an environment in which they still have their phone, but it's out of their control".

"Questa soppressione audio maschera efficativamente segnali critici come notifiche di sicurezza o chiamate di verifica da istituzioni bancarie, riducendo significativamente la probabilità che l'utente noti o interrompa il processo di transazione" — Zimperium zLabs researchers

La sostituzione del normale flusso percettivo del dispositivo ha un effetto sistemico. L'utente non riceve alert bancari, non può essere contattato dal servizio clienti, non percepisce vibrazioni di notifica. Anche consapevole di un possibile problema, rimane privo degli strumenti sensoriali per verificarlo. Soroko ha collegato questa evoluzione a un mutamento più ampio nel panorama delle minacce: "Attackers understand passwords fail against network security protocols...Criminals must commandeer the smartphone hardware to execute transactions. This methodology will expand as institutions improve defenses."

Come invalida le difese che conosciamo

Rokarolla neutralizza sequenzialmente le contromisure standard consigliate agli utenti e implementate dalle istituzioni finanziarie. Il MFA via SMS è intercettato attraverso l'accesso ai messaggi garantito dai permessi Accessibility. Google Play Protect viene disattivato tramite comando remoto specifico, come ha documentato The Hacker News: "one of its commands turns Play Protect off". Il lock screen è bypassato dall'overlay che ne replica fedelmente l'interfaccia, catturando le credenziali di sblocco direttamente dall'utente. Le chiamate di verifica della banca sono bloccate prima di raggiungere l'utente.

Per le aziende con policy BYOD, il dispositivo compromesso diventa un endpoint a rischio per la rete corporate. Randolph Barr, CISO di Cequence Security, ha evidenziato un vettore ulteriore: "Employers and service providers add a third risk layer. Each validation request is a new integration point, creating an additional attack surface." Il contesto numerico fornito da Barr — circa 4 milioni di attacchi di social engineering su dispositivi mobili nel 2024 e circa 33 milioni di incidenti malware/adware mobili bloccati nello stesso anno — colloca Rokarolla in una tendenza di maturazione delle minacce mobile piuttosto che in un'isola tecnica.

Rilevamento e limiti del dossier

Zimperium non ha attribuito Rokarolla a un gruppo threat actor specifico. Le dimensioni della campagna attiva, il numero di vittime confermate e la geografia precisa delle infezioni non sono stati dichiarati. Un dominio C2 con estensione .it.com è stato osservato, ma non emerge alcuna evidenza che confermi un targeting specifico dell'Italia. Il meccanismo esatto degli aggiornamenti dinamici C2 — se push o pull, con quale frequenza — rimane non specificato nel report.

Gli indicatori di compromesso sono stati pubblicati su repository GitHub Zimperium. Il report integra mappatura MITRE ATT&CK tactics e techniques. The Hacker News ha esplicitato un limite operativo rilevante: "There is no patch to apply here. This is malware, not a product flaw", sottolineando che la mitigazione passa per comportamenti utente e controlli lato istituzione piuttosto che per aggiornamenti di sicurezza automatici.

Cosa fare adesso

  • Verificare la provenienza di ogni APK al di fuori di Google Play Store: il vettore di ingresso documentato è l'installazione da siti malevoli che impersonano app popolari.
  • Rivedere i permessi Accessibility attivi nel dispositivo: Rokarolla richiede questi permessi per il controllo totale, e la loro revoca limita drasticamente la superficie di attacco.
  • Implementare metodi di autenticazione che non dipendano da SMS o notifiche sul dispositivo mobile, dato che entrambi i canali sono compromessi nel modello di minaccia documentato.
  • Monitorare anomalie comportamentali — overlay sospetti, schermo sempre attivo, assenza di suoneria o vibrazione non configurata — piuttosto che affidarsi esclusivamente a firme antivirus.

FAQ

Rokarolla sfrutta una vulnerabilità zero-day di Android?
No. È malware distribuito via ingegneria sociale e installazione volontaria, non exploit di vulnerabilità di sistema. Non esiste CVE associato né patch da applicare.
Perché 137 comandi sono significativi rispetto ad altri trojan?
Il numero supera i 107 comandi del trojan HOOK, indicando maggiore granularità di controllo e versatilità operativa. Più comandi significano più scenari di compromissione automatizzabili senza ricontatto con il server C2.
Il blocco delle chiamate funziona anche con VoIP o app di messaggistica?
Il dossier documenta il blocco delle chiamate in entrata tradizionali. Non specifica se l'intercettazione si estenda a chiamate VoIP o notifiche push da app bancarie dedicate.

Altri contenuti collegati

  • Lorem Ipsum pivota su ClickFix dopo takedown Fox Tempest
  • DragonForce weaponizza i relay TURN di Microsoft Teams per C2 stealth
  • SprySOCKS torna su Windows: rootkit kernel e targeting governativo

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Fonti e riferimenti
  1. darkreading.com
  2. thehackernews.com
  3. welivesecurity.com
  4. nvd.nist.gov
  5. hackread.com