{"id":1209,"date":"2026-06-16T15:11:30","date_gmt":"2026-06-16T15:11:30","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/16\/el-nuevo-malware-rokarolla-para-android-roba-pin-codigos-sms-y-fondos-de-billetera-criptografica-cyberdefensa-mx\/"},"modified":"2026-06-16T15:11:30","modified_gmt":"2026-06-16T15:11:30","slug":"el-nuevo-malware-rokarolla-para-android-roba-pin-codigos-sms-y-fondos-de-billetera-criptografica-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/16\/el-nuevo-malware-rokarolla-para-android-roba-pin-codigos-sms-y-fondos-de-billetera-criptografica-cyberdefensa-mx\/","title":{"rendered":"El nuevo malware Rokarolla para Android roba PIN, c\u00f3digos SMS y fondos de billetera criptogr\u00e1fica \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de seguridad de zLabs de Zimperium han documentado un nuevo troyano bancario para Android, Rokarolla<\/b>que apunta a 217 aplicaciones bancarias y de criptomonedas y contiene 137 comandos remotos.<\/p>\n

Juntos, le dan al operador un control casi total de un tel\u00e9fono infectado: levanta los PIN de la pantalla de bloqueo, lee y env\u00eda SMS, reescribe el portapapeles para redirigir los pagos criptogr\u00e1ficos y desactiva Google Play Protect.<\/p>\n

Rokarolla<\/a>que lleva el nombre de sus servidores de comando y control, se propaga a trav\u00e9s de sitios web maliciosos que se hacen pasar por aplicaciones conocidas como TikTok y Chrome.<\/p>\n

Lo primero que instala la v\u00edctima es un cuentagotas que se hace pasar por Google Play Protect. Utiliza ese disfraz para instalar la carga \u00fatil y obtener acceso a Accesibilidad. Una vez que el malware se est\u00e1 ejecutando, uno de sus comandos desactiva Play Protect.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El robo discurre por superposiciones. Rokarolla extrae una lista de objetivos de su servidor y, para cada aplicaci\u00f3n marcada como activa, descarga una p\u00e1gina de inicio de sesi\u00f3n HTML falsa y la almacena en una base de datos local. Cuando la v\u00edctima abre la aplicaci\u00f3n bancaria o de billetera real, el malware coloca la p\u00e1gina falsa encima y captura todo lo escrito en ella, incluidos los detalles de la tarjeta.<\/p>\n

El informe muestra una de esas p\u00e1ginas falsas que imita la aplicaci\u00f3n bancaria ‘imagin’. Una superposici\u00f3n separada imita la pantalla de bloqueo de Android para capturar el PIN, patr\u00f3n o contrase\u00f1a, lo que permite al operador controlar el tel\u00e9fono incluso cuando est\u00e1 bloqueado.<\/p>\n

Lee todos los SMS del dispositivo y puede enviar mensajes \u00e9l mismo, lo que es suficiente para obtener los c\u00f3digos SMS \u00fanicos que los bancos utilizan para aprobar inicios de sesi\u00f3n y transacciones. Al convertirse en la aplicaci\u00f3n predeterminada del tel\u00e9fono para mensajes de texto y llamadas, tambi\u00e9n puede bloquear las llamadas entrantes, por lo que nunca llega una llamada de advertencia del banco.<\/p>\n

\"\"<\/a><\/div>\n

Un registrador de teclas y un registrador de pantalla registran lo que el usuario escribe y ve, y el troyano rastrea contactos y lee notificaciones. El portapapeles se reescribe silenciosamente, intercambiando las direcciones de la billetera del atacante para que un pago criptogr\u00e1fico copiado llegue a la cuenta equivocada.<\/p>\n

Para la vigilancia, Rokarolla se salta la transmisi\u00f3n de pantalla habitual de MediaProjection, que genera un mensaje de grabaci\u00f3n visible, y en su lugar toma capturas de pantalla a trav\u00e9s de Accesibilidad, las comprime a PNG y las env\u00eda un cuadro a la vez. Ese enfoque instant\u00e1neo es m\u00e1s simple y silencioso que el VNC oculto en vivo que se ve en familias como Klopatra.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El malware lleva m\u00faltiples dominios C2 alternativos y se pueden entregar nuevos sobre la marcha, por lo que utilizar un solo servidor no sirve de mucho. Sus 137 comandos superan en n\u00famero a los 107 Zimperium contados en el troyano HOOK, y el manual es el mismo que se ejecuta en un ola de banqueros de Android de 2026<\/a>: droppers de aplicaciones falsas, abuso de accesibilidad y superposiciones HTML.<\/p>\n

No hay ning\u00fan parche para aplicar aqu\u00ed. Esto es malware, no un defecto del producto, por lo que las defensas son las est\u00e1ndar para los banqueros de Android. Instale aplicaciones solo desde Google Play, deje Play Protect activado y trate cualquier solicitud de accesibilidad inesperada como una se\u00f1al de alerta, ya que ese permiso impulsa toda la cadena de ataque.<\/p>\n

Zimperium dice que sus propios productos detectan a la familia y los indicadores de compromiso est\u00e1n en su repositorio de GitHub<\/a>.<\/p>\n

Zimperium no vincul\u00f3 a Rokarolla a ning\u00fan grupo determinado. Lo que muestra la construcci\u00f3n es intencional: un banquero creado para vencer las protecciones exactas en las que se les pide a los usuarios que conf\u00eden, desde Play Protect hasta la pantalla de bloqueo.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de seguridad de zLabs de Zimperium han documentado un nuevo troyano bancario para Android, Rokarollaque apunta a 217 aplicaciones bancarias y de criptomonedas y contiene 137 comandos remotos. Juntos, le dan al operador un control casi total de un tel\u00e9fono infectado: levanta los PIN de la pantalla de bloqueo, lee y env\u00eda SMS, […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[75,2081,1276,3143,24,3103,60,169,36,1965,224,3142,2108],"class_list":["post-1209","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-android","tag-billetera","tag-codigos","tag-criptografica","tag-cyberdefensa-mx","tag-fondos","tag-malware","tag-nuevo","tag-para","tag-pin","tag-roba","tag-rokarolla","tag-sms"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1209","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1209"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1209\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1209"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1209"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1209"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}