Zimperium zLabs ha identificato Rokarolla, un trojan Android che prende di mira 217 applicazioni bancarie e di criptovalute con un arsenale di 137 comandi remoti. L' analisi tecnica dei ricercatori descrive un impianto capace di prendere il controllo completo del dispositivo infetto: sottrazione delle credenziali di accesso, intercettazione degli SMS, re-routing silenzioso dei pagamenti in criptovaluta e sorveglianza persistente dell'attivit� dell'utente. La catena di infezione parte da siti malevoli che imitano TikTok e Chrome. Il primo stadio � un dropper camuffato da Google Play Protect: una volta installato, disabilita il vero sistema di protezione di Google e ottiene i permessi di Accessibility Service, SMS, notifiche e gestione delle chiamate. Zimperium non ha trovato traccia di Rokarolla sul Google Play Store; la distribuzione avviene esclusivamente al di fuori del canale ufficiale. Uno dei siti di distribuzione identificati � infocontablidades[.]it[.]com. Overlay, keylogger e controllo del dispositivo Il meccanismo centrale � l'abuso dei Servizi di Accessibilit� di Android. Rokarolla sovrappone overlay HTML falsi alle app bancarie legittime per raccogliere le credenziali nel momento in cui la vittima le apre; presenta inoltre overlay che riproducono la schermata di blocco del sistema per catturare PIN, sequenze di sblocco e password. Intercetta gli SMS in ingresso, funzione critica per aggirare l'autenticazione a due fattori, e riscrive silenziosamente il contenuto degli appunti per sostituire gli indirizzi dei wallet crypto con quelli degli attaccanti. La sorveglianza si estende a keylogger e screen logger. Gli screenshot vengono acquisiti tramite gli stessi Accessibility Services, senza ricorrere a MediaProjection, aggirando cos� alcune delle verifiche di sistema pi� visibili. Il malware estrae i contatti WhatsApp, blocca le chiamate in ingresso per impedire che la banca avvisi la vittima di movimenti sospetti, nasconde la propria icona dal launcher e mantiene lo schermo acceso indefinitamente silenziando audio e vibrazione. Per la gestione della botnet, Rokarolla trasmette telemetria di base al server di controllo non appena ottiene accesso, generando un identificativo unico per ogni dispositivo compromesso. Target, comandi e infrastruttura C2 Le 217 applicazioni nel mirino coprono istituti bancari e piattaforme di criptovalute. La comunicazione con i server di controllo avviene via HTTPS; il malware mantiene pi� domini C2 di fallback e pu� riceverne di nuovi in modo dinamico, rendendo inefficace il blocco per singolo indicatore. Zimperium ha pubblicato gli indicatori di compromissione su GitHub, inclusi domini, hash SHA-256 e nomi dei pacchetti coinvolti. Con 137 comandi Rokarolla supera il trojan HOOK, che ne contava 107, e si colloca in una stagione particolarmente attiva per i banker Android: lo stesso schema (dropper falso, overlay HTML, abuso dei Servizi di Accessibilit�) ricorre in varianti trovate in app di streaming false che prendevano di mira i fan del Mondiale 2026. Zimperium non ha attribuito il malware a nessun gruppo denominato; al momento della pubblicazione nessun altro laboratorio indipendente aveva diffuso un'analisi separata.