Исследователи сообщили о новом Android-банковском трояне Rokarolla, который нацелен сразу на 217 банковских и криптовалютных приложений. По данным BleepingComputer, вредоносная программа использует обширный набор из 137 команд и способна получить практически полный административный контроль над заражённым устройством.

Распространение построено на привычной, но всё ещё эффективной схеме: пользователю предлагают установить якобы Google Chrome или TikTok с вредоносных сайтов. Во время установки приложение работает как dropper и маскируется под Google Play Protect — встроенную защиту Android. Такая подмена снижает настороженность жертвы: вместо предупреждения о риске пользователь видит знакомый бренд безопасности.

После установки Rokarolla может собирать PIN-коды экрана блокировки, SMS-сообщения, контакты и данные ввода через кейлоггер. Для банковских троянов это критическая комбинация: SMS-коды и данные ввода помогают обходить одноразовые подтверждения, а доступность командного управления позволяет злоумышленникам адаптировать атаку под конкретное приложение или страну.

Особенно опасна ориентация на криптокошельки. В отличие от банковских платежей, переводы в криптосетях часто необратимы, поэтому компрометация seed-фраз, PIN-кодов или экранов подтверждения может быстро привести к полной потере средств. Наличие 217 целевых приложений говорит не об одиночном эксперименте, а о кампании, рассчитанной на широкую географию и разные финансовые сервисы.

Для пользователей главный защитный принцип остаётся простым: не устанавливать APK-файлы Chrome, TikTok, банковских клиентов или «защитных» приложений с сайтов, ссылок из мессенджеров и рекламных страниц. Обновления системных приложений должны приходить через Google Play или официальный магазин производителя устройства. Если приложение просит права accessibility, Device Admin или доступ к SMS без очевидной причины, это должно считаться серьёзным красным флагом.

Организациям, которые защищают мобильные устройства сотрудников, стоит добавить индикаторы Rokarolla в MDM/MTD-политики, отслеживать sideloading и ограничивать установку приложений из неизвестных источников. Финансовым сервисам, в свою очередь, важно оценивать не только факт ввода правильного кода, но и признаки заражения устройства, наложения экранов, аномального поведения сессии и быстрых смен получателя платежа.

Источник: BleepingComputer, 16 июня 2026