Rokarolla: el troyano que amenaza 217 apps bancarias en Android

¿Qué ha ocurrido?

El equipo de Zimperium zLabs ha identificado un nuevo troyano bancario para Android denominado Rokarolla, que actualmente ataca 217 aplicaciones bancarias y de criptomonedas. El malware, nombrado así por su infraestructura de comando y control, despliega 137 comandos remotos que permiten a los atacantes tomar control casi total del dispositivo infectado. Según el informe de Zimperium, Rokarolla se distribuye a través de aplicaciones maliciosas disfrazadas de herramientas legítimas, como escáneres QR o utilidades de oficina, que se descargan principalmente desde tiendas de aplicaciones de terceros o mediante campañas de phishing. Una vez instalado, solicita permisos de accesibilidad y servicios de superposición, lo que le permite interceptar contraseñas, capturar pantallas y ejecutar acciones en nombre del usuario sin su conocimiento.

¿Por qué es importante?

Rokarolla no es un troyano más. Su capacidad para robar el PIN de bloqueo de pantalla, leer y enviar mensajes SMS, manipular el portapapeles y acceder a billeteras de criptomonedas lo convierte en una herramienta particularmente peligrosa. Además, puede realizar transferencias no autorizadas y eludir la autenticación de dos factores basada en SMS. Lo que distingue a Rokarolla es su arsenal de 137 comandos, que incluyen funciones como desbloquear el dispositivo de forma remota, realizar llamadas, grabar audio, tomar fotos y hasta eliminar aplicaciones de seguridad. Este nivel de control no tiene precedentes en troyanos anteriores; por ejemplo, Cerberus tenía alrededor de 50 comandos y Anubis unos 70. La inclusión de comandos específicos para criptomonedas, como el monitoreo de direcciones de billeteras en el portapapeles y la suplantación de transacciones, indica un enfoque deliberado en este sector de alto valor.

Consecuencias para usuarios y empresas

Para los usuarios, el riesgo es inmediato: pérdida de credenciales bancarias, vaciado de cuentas y robo de fondos en criptomonedas. Las entidades financieras enfrentan un aumento en fraudes y reclamos, así como la necesidad de reforzar sus medidas de seguridad, como la implementación de autenticación biométrica o notificaciones push en lugar de SMS. Además, el malware podría propagarse mediante aplicaciones maliciosas en tiendas no oficiales o campañas de phishing. En el mercado de criptomonedas, Rokarolla podría desencadenar una ola de robos masivos, similar a lo que ocurrió con el troyano EventBot en 2020, que afectó a más de 200 apps financieras. Sin embargo, Rokarolla va un paso más allá al integrar capacidades de control remoto completo, lo que permite a los atacantes realizar transferencias en tiempo real sin necesidad de acceso físico al dispositivo. Las empresas de seguridad móvil, como Zimperium, ya están actualizando sus bases de datos de firmas y comportamientos para detectar este malware, pero la naturaleza polimórfica de Rokarolla —que puede modificarse dinámicamente— dificulta su identificación.

¿Qué deben saber los lectores?

• Instalar aplicaciones solo desde Google Play Store y evitar fuentes no verificadas. Google Play Store tiene protección Google Play Protect, pero no es infalible; revisa las reseñas y solicitudes de permisos.
• Revisar permisos de las apps: cualquier solicitud de accesibilidad o superposición de pantalla debe ser analizada. Aplicaciones legítimas rara vez necesitan estos permisos.
• Usar autenticación de dos factores basada en aplicaciones (como Google Authenticator o Authy) en lugar de SMS, ya que Rokarolla puede interceptar mensajes SMS.
• Mantener el sistema y las apps actualizadas para corregir vulnerabilidades. Las actualizaciones de seguridad mensuales de Android son críticas.
• Instalar un antivirus de confianza que detecte troyanos bancarios. Soluciones como Malwarebytes, Bitdefender o Kaspersky ofrecen protección en tiempo real.
• Desconfiar de enlaces en correos o mensajes que pidan instalar aplicaciones; verifica siempre la fuente.

“Rokarolla representa un salto en la capacidad de los troyanos bancarios para Android, combinando robo de credenciales, control remoto y manipulación de criptomonedas en un solo paquete.” — Analista de TheVortiq

Contexto histórico y comparación

Rokarolla se suma a una larga lista de troyanos bancarios como Cerberus, Anubis o TeaBot, pero se distingue por su amplio conjunto de comandos (137) y el enfoque en criptomonedas. La evolución de estos malware muestra una tendencia hacia la modularidad y la capacidad de evasión, lo que exige una respuesta coordinada de la industria de seguridad. Comparado con Gustuff, que en 2019 atacaba a 127 apps bancarias, Rokarolla casi duplica ese número y además incluye criptomonedas. También supera a BlackRock, que en 2020 tenía 50 comandos y se centraba en robo de credenciales. La aparición de Rokarolla coincide con el aumento global de fraudes financieros móviles: según un informe de RSA Security, los ataques a aplicaciones bancarias crecieron un 38% en 2025. Esto sugiere que los ciberdelincuentes están invirtiendo más recursos en Android, el sistema operativo móvil más utilizado, con más de 3 mil millones de dispositivos activos. Además, Rokarolla utiliza técnicas de evasión avanzadas, como ofuscación de código y verificación de entorno sandbox, lo que dificulta su análisis en laboratorios de seguridad. La respuesta de la industria ha sido la creación de coaliciones como la App Defense Alliance, que busca compartir inteligencia sobre amenazas, pero aún falta una solución global. Mientras tanto, los usuarios deben adoptar una postura proactiva de seguridad, ya que la detección temprana es la mejor defensa contra este tipo de troyanos.