Un nuovo malware Android risponde al nome di Rokarolla e, nonostante venga classificato come banking trojan, il suo obiettivo va ben oltre il semplice furto di credenziali bancarie.I ricercatori di Zimperium lo hanno analizzato in dettaglio, e ciò che emerge è uno strumento di controllo remoto totale dello smartphone, capace di intercettare comunicazioni, raccogliere dati sensibili e svuotare conti correnti o wallet di criptovalute.La minaccia è progettata per colpire 217 applicazioni tra app bancarie e di criptovalute, e dispone di un arsenale da 137 comandi distinti. Rokarolla si diffonde tramite app false distribuite fuori dagli store ufficiali. I campioni analizzati si presentano camuffati da Google Play Protect e offrono all'utente la possibilità di installare Chrome o TikTok, che in realtà nascondono il payload del malware. Una volta installata, l'app chiede l'accesso ai Servizi di Accessibilità di Android: è qui che avviene il salto di qualità dell'infezione.Con quei permessi concessi, Rokarolla ottiene la capacità di simulare tocchi sullo schermo, autorizzare richieste di permessi in autonomia e monitorare tutto ciò che l'utente fa sul dispositivo. Per rendere la propria presenza più difficile da rilevare, disattiva Google Play Protect, rimuove la propria icona dal cassetto delle app, silenzia il dispositivo e mantiene lo schermo sempre attivo. Le funzionalità malevole attivate dopo questa fase includono:lettura e invio di messaggi SMSmonitoraggio delle notificheraccolta del contenuto degli appunti di sistema (dove spesso finiscono password, PIN e indirizzi di wallet)registrazione delle credenziali inserite nelle apptrasmissione di tutto il materiale raccolto ai server degli attaccantiTutti i dati vengono inviati a un'infrastruttura di comando e controllo remota, che consente agli operatori di adattare le proprie azioni in tempo reale.Uno degli aspetti più insidiosi è l'uso delle cosiddette schermate overlay: quando l'utente apre la propria app bancaria, Rokarolla sovrappone una finestra di autenticazione falsa, praticamente identica all'originale, che cattura username, password e PIN prima ancora che l'utente si accorga di qualcosa.La cosa che preoccupa di più, però, è la capacità di bypassare l'autenticazione a due fattori, in quanto il malware intercetta SMS e notifiche contenenti codici OTP e codici di conferma, permettendo agli attaccanti di completare le transazioni fraudolente senza che la vittima se ne accorga immediatamente. Tra l'altro, Zimperium ha pubblicato su GitHub l'elenco completo dei 137 comandi disponibili per Rokarolla.La regola d'oro per difendersi resta sempre la stessa: installare app solo dagli store ufficiali e trattare con estrema diffidenza qualsiasi richiesta di accesso ai Servizi di Accessibilità da parte di app che non ne hanno una reale necessità funzionale. Se siete interessati a come i truffatori sfruttano canali apparentemente legittimi per colpire gli utenti, vale la pena leggere anche il nostro articolo sul phishing via PEC segnalato dall'Agenzia delle Entrate.Il fatto che un malware di questo livello riesca a eludere l'autenticazione multifattore, che molti considerano una protezione sufficiente, dovrebbe farci riflettere su quanto sia cambiato il panorama delle minacce mobile, dove lo smartphone non è più solo un bersaglio, ma è diventato la chiave di accesso a tutto.L'articolo Rokarolla, il malware Android che bypassa il 2FA e svuota conti sembra essere il primo su Smartworld.