Un nuevo troyano de Android llamado Rocarola apunta a 217 aplicaciones bancarias y puede robar su PIN, código SMS y fondos de billetera criptográfica.
TL; DR
Zimperium encontró Rocarola, un troyano de Android que apunta a 217 aplicaciones bancarias con 137 comandos. Roba PIN, intercepta SMS y secuestra pagos criptográficos.
Los investigadores de seguridad del ZLab de Gimperium han documentado un nuevo troyano bancario para Android que apunta a 217 aplicaciones bancarias y de criptomonedas y lleva 137 comandos remotos, lo que le da al operador control total de un teléfono infectado. El malware, que Zimperium llama Rocarola por su infraestructura de comando y control, puede robar PIN de la pantalla de bloqueo, leer y enviar mensajes SMS, reescribir portapapeles para redirigir pagos en criptomonedas y desactivar Google Play Protect.
Rokarolla se propaga a través de sitios web maliciosos que se hacen pasar por aplicaciones populares como TikTok y Chrome. Lo primero que instala una víctima es un cuentagotas disfrazado de Google Play Protect, que utiliza esa máscara para instalar la carga útil original y obtener acceso de accesibilidad. Una vez que se ejecuta, uno de los primeros comandos del troyano es desactivar Play Protect, eliminando la defensa automática básica en la que confían la mayoría de los usuarios de Android.
El robo financiero funciona mediante superposiciones. Rocarola extrae una lista de objetivos de sus servidores y para cada aplicación bancaria o de billetera marcada como activa, descarga una página de inicio de sesión HTML falsa y la almacena en una base de datos local. Cuando la víctima abre la aplicación legítima, el malware muestra la página falsa y captura todo lo escrito en ella, incluidos los detalles de la tarjeta y las credenciales de inicio de sesión.
Una superposición separada emula la pantalla de bloqueo de Android para recopilar el PIN, patrón o contraseña del dispositivo, lo que permite al operador emitir comandos incluso cuando el teléfono está bloqueado. El troyano puede leer todos los SMS del dispositivo y enviar el mensaje, lo que es suficiente para interceptar los códigos únicos utilizados por los bancos para autorizar transacciones. Al convertirse en el administrador predeterminado de mensajes de texto y llamadas, puede bloquear las llamadas entrantes, evitando que lleguen al usuario notificaciones de alerta de fraude.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
Un registrador de teclas y un registrador de pantalla registran lo que el usuario escribe y ve, mientras que el troyano rastrea contactos y lee notificaciones. El portapapeles se reescribe silenciosamente, intercambiando direcciones de billetera controladas por el atacante para que un pago en criptomoneda copiado vaya a la cuenta equivocada. Para la vigilancia, Rocarola evita el método habitual de transmisión de pantalla de MediaProjection, que genera un mensaje de grabación visible, y en su lugar toma capturas de pantalla a través de Accesibilidad, las comprime en PNG y las envía un cuadro a la vez.
El malware mantiene múltiples dominios de comando y control alternativos y puede asumir otros nuevos sobre la marcha, por lo que desactivar un solo servidor no interrumpe las operaciones. Sus 137 ganchos de comando son más que los 107 Zimperium contados en el troyano, y el manual es el mismo que se aplicará a la ola de banqueros de Android de 2026: descargadores de aplicaciones falsas, abusos de accesibilidad y superposiciones de HTML. Ya se han encontrado troyanos bancarios para Android que utilizan tácticas idénticas incrustados en aplicaciones de transmisión falsas dirigidas a los fanáticos de la Copa Mundial 2026.
Zimperium no ha atribuido a Rocarola a ningún grupo de amenazas designado y ningún laboratorio independiente ha publicado aún un análisis separado, por lo que las afirmaciones técnicas se basan en una sola fuente. La capacidad de la compañía para informar documentos, no contar las infecciones confirmadas, significa que la escala de las infecciones en el mundo real sigue siendo desconocida.
No es necesario aplicar ningún parche de software porque se trata de malware, no de una vulnerabilidad del producto. Las defensas para los banqueros de Android son estándar: instalar solo aplicaciones de Google Play, mantener Play Protect habilitado y tratar cualquier solicitud de permiso de accesibilidad inesperada como una señal de alerta, ya que ese permiso único impulsa toda la cadena de ataque. Zimperium dice que sus propios productos identifican a la familia y los indicadores de compromiso se publican en su repositorio GitHub.
