Los investigadores de seguridad de zLabs de Zimperium han documentado un nuevo troyano bancario para Android, Rokarollaque apunta a 217 aplicaciones bancarias y de criptomonedas y contiene 137 comandos remotos.

Juntos, le dan al operador un control casi total de un teléfono infectado: levanta los PIN de la pantalla de bloqueo, lee y envía SMS, reescribe el portapapeles para redirigir los pagos criptográficos y desactiva Google Play Protect.

Rokarollaque lleva el nombre de sus servidores de comando y control, se propaga a través de sitios web maliciosos que se hacen pasar por aplicaciones conocidas como TikTok y Chrome.

Lo primero que instala la víctima es un cuentagotas que se hace pasar por Google Play Protect. Utiliza ese disfraz para instalar la carga útil y obtener acceso a Accesibilidad. Una vez que el malware se está ejecutando, uno de sus comandos desactiva Play Protect.

El robo discurre por superposiciones. Rokarolla extrae una lista de objetivos de su servidor y, para cada aplicación marcada como activa, descarga una página de inicio de sesión HTML falsa y la almacena en una base de datos local. Cuando la víctima abre la aplicación bancaria o de billetera real, el malware coloca la página falsa encima y captura todo lo escrito en ella, incluidos los detalles de la tarjeta.

El informe muestra una de esas páginas falsas que imita la aplicación bancaria ‘imagin’. Una superposición separada imita la pantalla de bloqueo de Android para capturar el PIN, patrón o contraseña, lo que permite al operador controlar el teléfono incluso cuando está bloqueado.

Lee todos los SMS del dispositivo y puede enviar mensajes él mismo, lo que es suficiente para obtener los códigos SMS únicos que los bancos utilizan para aprobar inicios de sesión y transacciones. Al convertirse en la aplicación predeterminada del teléfono para mensajes de texto y llamadas, también puede bloquear las llamadas entrantes, por lo que nunca llega una llamada de advertencia del banco.

Un registrador de teclas y un registrador de pantalla registran lo que el usuario escribe y ve, y el troyano rastrea contactos y lee notificaciones. El portapapeles se reescribe silenciosamente, intercambiando las direcciones de la billetera del atacante para que un pago criptográfico copiado llegue a la cuenta equivocada.

Para la vigilancia, Rokarolla se salta la transmisión de pantalla habitual de MediaProjection, que genera un mensaje de grabación visible, y en su lugar toma capturas de pantalla a través de Accesibilidad, las comprime a PNG y las envía un cuadro a la vez. Ese enfoque instantáneo es más simple y silencioso que el VNC oculto en vivo que se ve en familias como Klopatra.

El malware lleva múltiples dominios C2 alternativos y se pueden entregar nuevos sobre la marcha, por lo que utilizar un solo servidor no sirve de mucho. Sus 137 comandos superan en número a los 107 Zimperium contados en el troyano HOOK, y el manual es el mismo que se ejecuta en un ola de banqueros de Android de 2026: droppers de aplicaciones falsas, abuso de accesibilidad y superposiciones HTML.

No hay ningún parche para aplicar aquí. Esto es malware, no un defecto del producto, por lo que las defensas son las estándar para los banqueros de Android. Instale aplicaciones solo desde Google Play, deje Play Protect activado y trate cualquier solicitud de accesibilidad inesperada como una señal de alerta, ya que ese permiso impulsa toda la cadena de ataque.

Zimperium dice que sus propios productos detectan a la familia y los indicadores de compromiso están en su repositorio de GitHub.

Zimperium no vinculó a Rokarolla a ningún grupo determinado. Lo que muestra la construcción es intencional: un banquero creado para vencer las protecciones exactas en las que se les pide a los usuarios que confíen, desde Play Protect hasta la pantalla de bloqueo.

Investigadores de ciberseguridad han descubierto una red de 152 extensiones de Google Chrome que actúan como complementos de fondos de pantalla animados en nuevas pestañas para distribuir una familia de programas potencialmente no deseados (PUP).

El clúster abarca 38 cuentas de editor independientes de Chrome Web Store y tres backends de marca: tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com. Se han instalado colectivamente 105.000 veces. Los nombres de algunas de las extensiones se enumeran a continuación:

• Neymar – Fondo de pantalla animado de fútbol (laafpeklcnlfmjaofbndehkjpnccbhek)
• Satoru Gojo Manga Fondo de pantalla en vivo (mnpacdigbockiilmilhbedciadenfdnb)
• Porsche 911 – Fondo de pantalla en vivo de autos deportivos (trabajador de servicio muerto) (iedplnnolciaofkakkjmcojnmklpfikg)
• Satoru Gojo Live Wallpaper (ipiabbhciknabpoihaakdahgghllelpj)
• Hello Kitty Wallpapers HD Nueva pestaña (hijpkhinofkdobfagfbobnnoihmopgkk)
• Pusheen Cat Wallpapers HD Nueva pestaña (famchdjojcnakamhkddkpaglnkonkfnl)
• Peach & Goma Wallpapers HD Nueva pestaña (nomekamioepglinefhenifnbegjhfiai)
• Spider-Man Miles Morales Swing Live Wallpaper (jjngbcodoldjmpjpfbhfelaljbdlkekh)
• BMW M3 Neon Night Drive Fondo de pantalla en vivo (gfikbhpfjldbbikolkcimfgmejhdkjbe)
• Fondos de pantalla de BMW (dbiamdajndfmpmmeklcbbnekhkdcakhf)
• Death Note Anime Wallpapers HD Nueva pestaña (pkdloppfapenphihgbldhjjlfhgnkmcg)
• Sonic Frontiers Starfall Live Wallpaper (imkepemaflommlonnppjobgdpokbfmoj)
• Tanjiro – Demon Slayer Live Wallpaper (ibglidkppckhminbhbgcajomjplomcka)
• Fondo de pantalla de nueva pestaña de Neymar (gkbfokaephnaajnmpgiieidpfieamggb)
• Anime Car Drift Live Wallpaper (bcafgkhoifffmnoajkgmbhcojpabjffm)
• Nueva pestaña de Fondos de pantalla de Choso (ojeaociifmdciibodcifjjocdlbjjeep)
• Anime lluvia fondo de pantalla en vivo (npcghghfkbpgiamoifabankdnmopenni)
• Minecraft Sakura Pond Live Wallpaper (mjdhgndjbajnanfimjipafechjbakdhh)
• Sombrero de Paja Live Wallpaper Fantasma de Tsushima (lblgjffllphdepifdkfhlihddckhlkll)
• Zenitsu Agatsuma Live Wallpaper (laeciedchhnmnfhllplcgkfcdbdfgdhn)

«Cada listado declara en Chrome Web Store que no recopilará ni utilizará datos del usuario, mientras que la política de privacidad vinculada admite lo contrario: que las extensiones registren direcciones IP, ISP, recuentos de clics y referencias y compartan esos datos con Google AdSense, DoubleClick y socios publicitarios externos», dijo el investigador de seguridad de Socket, Kush Pandya. dicho.

Es más, un subgrupo de extensiones identificadas define dos URL codificadas en un archivo JavaScript («js/bg.js») que se activan durante las operaciones de instalación y desinstalación:

• La URL de instalación incluye los parámetros del módulo de seguimiento de Urchin (UTM) «utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper», disfrazando así la extensión que abre una pestaña de instalación como una búsqueda «orgánica».
• La URL de desinstalación es un contenedor de redireccionamiento google.com/url que disfraza la desinstalación como una actividad genuina de la Búsqueda de Google.

La búsqueda orgánica en motores de búsqueda como Gook se refiere a los listados no pagados en una página de resultados de un motor de búsqueda (SERP) generados por algoritmos. Su ubicación se basa en parámetros como relevancia, autoridad y optimización de motores de búsqueda (SEO), y es diferente de los resultados patrocinados.

La idea detrás de estas extensiones, dijo Socket, es crear artificialmente esa señal, lo que esencialmente equivale a fabricar el origen de su propio tráfico.

«La visita no es una persona que buscó en Google; es la extensión que abre una pestaña por sí sola y la marca ‘llegó de la búsqueda orgánica de Google’», explicó la compañía.

«El ping de desinstalación va un paso más allá, envolviendo el destino en el formato exacto google.com/url que Google usa para clics en resultados de búsqueda reales, incluidos los tokens ved y usg firmados, por lo que el resultado parece un humano haciendo clic en un resultado de Google».

Los archivos JavaScript también vienen equipados con una capacidad inactiva para enumerar y eliminar cada base de datos IndexedDB que pueda encontrar al iniciar un trabajador de servicio.

Se considera que la campaña es una «operación afiliada de fraude de atribución de tráfico y publicidad comercial con motivación financiera», aunque se desconoce su procedencia exacta. Los indicadores circunstanciales disponibles sugieren que podría tener su origen en Turquía.