Investigadores de seguridad han identificado un nuevo troyano bancario para Android llamado Rokarolla, diseñado para obtener el control total de dispositivos móviles y sustraer información financiera sensible. Este malware es capaz de atacar hasta 217 aplicaciones bancarias y de criptomonedas, comprometiendo PINs, códigos de verificación SMS y fondos de monederos digitales. Se propaga a través de sitios web maliciosos que imitan aplicaciones populares como TikTok o Chrome, engañando a los usuarios para que descarguen un ‘dropper’ inicial.
El ataque comienza cuando la víctima instala un ‘dropper’ que simula ser Google Play Protect. Una vez ejecutado, este software malicioso solicita acceso a la función de Accesibilidad de Android, un permiso crítico que luego abusa para instalar la carga útil principal y desactivar las protecciones de Play Protect. Rokarolla descarga páginas de inicio de sesión falsas de su servidor de comando y control (C2) y las superpone sobre las aplicaciones bancarias o de criptomonedas legítimas cuando se abren, capturando así las credenciales introducidas por el usuario.
Además de la suplantación de identidad mediante superposiciones, Rokarolla utiliza un keylogger y un registrador de pantalla para grabar lo que el usuario escribe y ve. Es capaz de leer y enviar SMS, lo que le permite interceptar códigos de autenticación de un solo uso (OTP) y, al hacerse con el control de las aplicaciones de mensajería y llamadas, bloquear advertencias bancarias entrantes. El troyano también manipula el portapapeles para desviar pagos de criptomonedas a cuentas del atacante y captura capturas de pantalla para vigilancia discreta, evadiendo las notificaciones habituales de grabación de pantalla.
Dada la naturaleza de este ataque como malware, no existen parches de software específicos. La defensa se basa en la implementación de buenas prácticas de seguridad móvil: descargar aplicaciones únicamente desde Google Play Store oficial, mantener Google Play Protect siempre activado y, fundamentalmente, desconfiar de cualquier solicitud inesperada de permisos de Accesibilidad. Este permiso es un vector de ataque recurrente para troyanos bancarios y su abuso puede otorgar control total al atacante sobre el dispositivo.
Qué significa para tu empresa: La proliferación de malware móvil como Rokarolla subraya la necesidad crítica de proteger los dispositivos móviles que acceden a recursos corporativos o manejan información sensible, ya sean personales (BYOD) o emitidos por la empresa. La combinación de robo de credenciales, bypass de MFA y control total del dispositivo puede llevar a fraudes financieros, robo de datos corporativos y acceso no autorizado a sistemas. Para mitigar estos riesgos, su empresa debe considerar la implementación de soluciones avanzadas de protección de endpoints EDR/XDR que puedan detectar y responder a amenazas en dispositivos móviles, incluso aquellas que intentan evadir las protecciones estándar, brindando una capa esencial de seguridad en la primera línea de defensa.
Fuente original: The Hacker News — ver artículo →