Auf den Punkt: Rokarolla nutzt gefälschte Overlay-Fenster, SMS-Interception und Zwischenablage-Manipulation, um Banking-Credentials und Krypto-Adressen zu stehlen; ein technischer Patch existiert nicht.
Der neu identifizierte Android-Trojaner Rokarolla zielt auf 217 Banking- und Kryptowährungs-Anwendungen ab und kann über 137 Fernsteuerungsbefehle nahezu vollständige Kontrolle über infizierte Geräte erlangen. Die Schadsoftware wird über manipulierte Webseiten verbreitet, die sich als populäre Apps wie TikTok oder Chrome tarnen.
Die Sicherheitsfirma Zimperium hat den Android-Trojaner Rokarolla analysiert und dokumentiert. Die Schadsoftware wird über betrügerische Landingpages verbreitet, die bekannte Anwendungen nachahmen. Die anfängliche Infektionskette nutzt ein Schadprogramm, das sich als Google Play Protect ausgibt. Sobald dieses installiert ist, fordert es Berechtigungen für die Android-Bedienungshilfen an – eine kritische Eskalation, da diese Berechtigung ermöglicht, weitere Schadsoftware nachzuladen und die echte Play-Protect-Funktion zu deaktivieren.
Der Datendiebstahl funktioniert hauptsächlich über gefälschte Benutzeroberflächen. Rokarolla ruft vom Steuerungsserver eine Liste mit Zielanwendungen ab und legt beim Öffnen einer Banking- oder Krypto-App eine manipulierte HTML-Anmeldemaske darüber. So werden Passwörter und Kreditkartendaten abgefangen. Ein dokumentiertes Beispiel ist die Banking-App imagin. Zusätzlich simuliert Rokarolla einen Sperrbildschirm, um PIN oder Entsperrmuster auszulesen – selbst wenn das Gerät gesperrt ist. Der Trojaner liest und versendet SMS-Nachrichten, blockiert Warn-Anrufe von Banken, und protokolliert über Keylogger und Screen-Logger Tastatureingaben sowie Bildschirminhalte. Eine besonders kritische Funktion: Sobald eine Kryptowährungs-Adresse in die Zwischenablage kopiert wird, ersetzt Rokarolla sie durch eine Adresse der Angreifer und leitet Überweisungen um. Für Spionage erstellt das Programm diskret einzelne PNG-Screenshots über die Bedienungshilfen statt offensichtlicher Videoaufzeichnungen.
Die Schadsoftware kommuniziert mit mehreren dezentralisierten Steuerungsservern und empfängt neue Server-Domains im laufenden Betrieb – ein blockiertes Servern beeinträchtigt die Funktionalität daher minimial. Mit 137 Fernsteuerungsbefehlen übersteigt Rokarolla vergleichbare Trojaner wie HOOK erheblich. Weil es sich um reine Schadsoftware handelt, nicht um eine Produktschwachstelle, gibt es keinen technischen Software-Patch. Zimperium empfiehlt CISOs, Anwendungen ausschließlich aus dem offiziellen Google Play Store zu beziehen, Play Protect aktiv zu halten und Anfragen nach Bedienungshilfe-Berechtigungen kritisch zu bewerten und abzulehnen.
Quelle: www.it-daily.net · Erschienen 20. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.