- Este malware se distribuye mediante páginas fraudulentas que imitan a servicios populares como TikTok o Google Chrome.
- Utiliza la identidad de Google Play Protect para engañar a las víctimas y obtener permisos críticos del sistema.
- El troyano tiene capacidad para monitorizar más de 200 aplicaciones de banca y plataformas de criptomonedas.
- Es capaz de modificar el portapapeles y realizar capturas de pantalla para sustraer información sensible.
La seguridad en nuestros dispositivos móviles se ha visto comprometida nuevamente tras el descubrimiento de un malware bautizado como Rokarolla. Este troyano bancario, detectado recientemente por expertos en ciberseguridad, ha puesto en alerta a la comunidad tecnológica debido a su sofisticada capacidad para sustraer credenciales y datos financieros de usuarios desprevenidos. Aunque parezca que estamos curados de espanto, este tipo de ataques sigue encontrando resquicios para colarse en nuestras vidas cotidianas.
El alcance de esta amenaza no es moco de pavo, ya que los investigadores han confirmado que el programa malicioso tiene en su punto de mira un listado que supera las 200 aplicaciones de entidades bancarias y carteras de criptomonedas. Al operar de forma silenciosa, el virus consigue que el terminal infectado se convierta en una herramienta al servicio de los ciberdelincuentes, facilitando el acceso a ahorros y datos personales sin que el propietario del teléfono se percate de lo que está ocurriendo bajo el capó de su sistema operativo.
¿Cómo consigue infectar nuestro dispositivo?
A diferencia de otras amenazas que logran burlar los filtros de las tiendas oficiales, este troyano prefiere moverse por los bajos fondos de internet. Los atacantes utilizan portales de descarga fraudulentos que imitan a la perfección sitios legítimos para que los usuarios bajen versiones falsas de Google Chrome o la red social TikTok. Es en este punto donde se produce el engaño inicial, ya que lo que realmente se instala es un paquete que servirá de puente para descargar la carga útil definitiva del malware.
Para terminar de rematar la faena y evitar sospechas, el software malicioso suele camuflarse utilizando el nombre y el icono de herramientas de seguridad conocidas como Google Play Protect. Al presentarse con esta apariencia oficial, es mucho más sencillo que el usuario, confiado, acepte las peticiones de configuración que el troyano necesita para asentarse definitivamente en el teléfono y empezar a realizar sus funciones de espionaje sin levantar demasiada polvareda.
El abuso de los servicios de accesibilidad
Uno de los puntos más críticos de esta infección es la insistencia con la que solicita la activación de los permisos de accesibilidad. Aunque estas funciones están diseñadas originalmente para ayudar a personas con discapacidad, en manos de Rokarolla se convierten en un arma de doble lenguaje que permite al troyano interactuar con la interfaz de manera autónoma. Esto le otorga el poder de leer el contenido de la pantalla y otorgarse a sí mismo permisos adicionales sin que tengamos que pulsar ni un solo botón más.
Gracias a este control casi total, los delincuentes pueden interceptar mensajes SMS y notificaciones en tiempo real. Esto resulta especialmente peligroso porque les permite capturar códigos de verificación de doble factor que envían los bancos para autorizar transferencias. De esta forma, las barreras de seguridad que solemos considerar infranqueables caen una tras otra, dejando nuestras cuentas bancarias totalmente expuestas ante cualquier movimiento fraudulento que decidan realizar desde sus servidores remotos.
Técnicas de robo mediante superposiciones y captura de datos
El método estrella para hacerse con nuestras contraseñas son las denominadas superposiciones dinámicas de pantalla. Cuando el troyano detecta que abrimos una de las aplicaciones financieras de su lista, coloca encima una ventana falsa de inicio de sesión que imita perfectamente el diseño original. Al introducir nuestro PIN o patrón en esa capa invisible, estamos entregando las llaves de nuestro dinero directamente a los atacantes mientras creemos que estamos operando en la aplicación oficial de nuestro banco.
Pero la cosa no queda ahí, ya que también se ha detectado que el malware es capaz de manipular el portapapeles del móvil. Si eres de los que operan con activos digitales, debes tener mucho cuidado, puesto que Rokarolla puede detectar direcciones de billeteras cripto y sustituirlas por las de los atacantes en el momento justo en que vas a realizar un envío. Además, el sistema realiza capturas de pantalla intermitentes que se envían con marcas de tiempo para que los criminales tengan un registro visual de todo lo que hacemos con el terminal.
Ante este panorama, resulta fundamental extremar las precauciones y evitar a toda costa la instalación de archivos que no provengan de fuentes verificadas. La prevención pasa por mantener el sistema actualizado y desconfiar de cualquier aplicación que solicite accesos excesivos que no tengan sentido para su funcionamiento habitual. Estar al tanto de estas amenazas es la mejor forma de no llevarnos un susto desagradable, recordando que la higiene digital y el sentido común son nuestras mejores defensas para mantener a salvo nuestra privacidad y nuestras finanzas en el entorno móvil.