Rokarolla: el nuevo malware que ataca 217 apps bancarias y cripto en Android

¿Qué ha ocurrido?

Investigadores de seguridad han descubierto un nuevo troyano bancario para Android denominado Rokarolla, que es capaz de comprometer 217 aplicaciones bancarias y de criptomonedas. Según informa TechRadar, el malware se propaga a través de aplicaciones falsas y utiliza técnicas de superposición (overlay) para capturar credenciales, además de abusar de los servicios de accesibilidad para interceptar mensajes SMS y realizar transacciones no autorizadas. Este hallazgo se suma a la creciente lista de amenazas móviles, como el ya conocido Xenomorph o Anatsa, que también se dirigían a apps financieras. Sin embargo, Rokarolla destaca por su capacidad de atacar simultáneamente a 217 aplicaciones, un número que supera a muchos troyanos anteriores. La muestra fue detectada por primera vez en julio de 2024, y desde entonces se ha observado su distribución activa en regiones de Europa y América Latina.

¿Por qué es importante?

Este malware representa una amenaza significativa porque se dirige específicamente a aplicaciones financieras y de cripto, un sector en crecimiento con usuarios que manejan activos digitales de alto valor. Según datos de Chainalysis, el mercado de criptomonedas superó los 1.5 billones de dólares en capitalización en 2024, lo que lo convierte en un blanco atractivo para los ciberdelincuentes. Además, su capacidad para evadir la detección inicial mediante técnicas de ofuscación y su sofisticación en el abuso de los servicios de accesibilidad lo convierten en un peligro real para la seguridad móvil. A diferencia de otros troyanos como Cerberus o EventBot, que se centraban en regiones específicas, Rokarolla tiene un alcance geográfico amplio, afectando a usuarios de múltiples países, incluidos Estados Unidos, Reino Unido, Alemania y España. Esto se debe a que las aplicaciones falsas que lo distribuyen se promocionan a través de campañas de phishing y anuncios maliciosos en redes sociales, sin limitación geográfica.

Consecuencias y recomendaciones

Las consecuencias para los usuarios pueden incluir el robo de fondos, la exposición de datos personales y el compromiso de cuentas bancarias. En el caso de las criptomonedas, una vez que el malware obtiene las claves privadas o las credenciales de intercambio, los fondos pueden transferirse a carteras controladas por los atacantes, con pocas posibilidades de recuperación. Para protegerse, se recomienda:

• Mantener el sistema operativo y las aplicaciones actualizadas. Google ha parcheado varias vulnerabilidades de accesibilidad en versiones recientes de Android, pero muchos dispositivos aún no reciben actualizaciones.
• Descargar apps únicamente desde Google Play y verificar los permisos solicitados. Rokarolla a menudo se disfraza de aplicaciones de productividad o utilidades, como escáneres de documentos o linternas.
• Desconfiar de mensajes o enlaces sospechosos que pidan instalar aplicaciones, especialmente si provienen de fuentes no verificadas.
• Utilizar soluciones de seguridad móvil reconocidas, como las de Kaspersky o Bitdefender, que ya han actualizado sus bases de datos para detectar esta amenaza.

Las entidades financieras y exchanges de criptomonedas deben reforzar sus sistemas de autenticación y monitoreo para detectar actividades anómalas. Por ejemplo, implementar autenticación de dos factores basada en aplicaciones (como Google Authenticator) en lugar de SMS, ya que este método es vulnerable a la interceptación por parte de Rokarolla. Además, deben educar a sus usuarios sobre los riesgos y promover el uso de medidas de seguridad adicionales.

Contexto técnico

Rokarolla se clasifica como un troyano bancario que, una vez instalado, solicita permisos de accesibilidad. Con ellos, puede leer notificaciones, realizar clics automáticos y superponer ventanas falsas sobre apps legítimas. Además, puede interceptar mensajes SMS de verificación en dos pasos, lo que le permite sortear la autenticación de dos factores basada en SMS. Según el análisis de los investigadores, el malware utiliza un servidor C2 (comando y control) para recibir instrucciones y exfiltrar datos. Se comunica mediante protocolos HTTPS para evadir la detección de red. Rokarolla también es capaz de descargar e instalar módulos adicionales, lo que le permite actualizar sus capacidades en tiempo real. Esto lo hace más peligroso que troyanos estáticos como Alien, que tenían un conjunto fijo de funcionalidades. El malware se distribuye principalmente a través de sitios web de terceros y campañas de phishing, aunque también se han detectado variantes empaquetadas en aplicaciones legítimas modificadas (repackaged apps).

"El malware Rokarolla es un recordatorio de que la seguridad móvil debe ser una prioridad, especialmente para quienes manejan criptoactivos. La sofisticación de estos ataques subraya la necesidad de una defensa en profundidad que incluya tanto medidas técnicas como educación del usuario." — Analista de TheVortiq

En conclusión, Rokarolla representa una evolución en el panorama de troyanos bancarios móviles, con un alcance y capacidades que lo convierten en una amenaza seria. La colaboración entre investigadores de seguridad, fabricantes de dispositivos y entidades financieras será clave para mitigar su impacto. Los usuarios deben mantenerse vigilantes y adoptar las mejores prácticas de seguridad para proteger sus activos digitales.