Rokarolla: dok prazni račune, novi trojanac blokira upozorenja banaka o sumnjivim transakcijama

Mobilni telefoni, 17.06.2026, 09:30 AM

Istraživači kompanije Zimperium otkrili su novog Android bankarskog trojanca nazvanog Rokarolla koji, pored krađe podataka i novca, pokušava da žrtvu potpuno izoluje od komunikacije sa bankom kako bi prevara ostala neprimećena.

Malver je dobio ime po komandno-kontrolnim serverima koje koristi, a prema navodima istraživača sposoban je da napada čak 217 bankarskih i kripto aplikacija koristeći više od 130 različitih komandi.

Rokarolla se distribuira preko veb sajtova koji se predstavljaju kao TikTok ili Google Chrome stranice. Tokom infekcije koristi dodatni program (dropper) koji se lažno predstavlja kao Google Play Protect kako bi na uređaj neprimetno instalirao glavni malver.

Za razliku od mnogih drugih bankarskih trojanaca, Rokarolla pokušava da preuzme gotovo potpunu kontrolu nad uređajem. Može da postane podrazumevana aplikacija za pozive i poruke, blokira dolazne pozive, čita i šalje SMS poruke, kao i da presretne jednokratne kodove i upozorenja o sumnjivim transferima koje banke šalju korisnicima.

Malver takođe može da isključi zvuk i vibraciju uređaja kako bi sakrio obaveštenja, ukloni svoju ikonicu iz liste aplikacija i spreči gašenje ekrana da se njegove skrivene aktivnosti ne bi nikada prekidale.

Za krađu podataka koristi Android Accessibility Services, funkciju namenjenu osobama sa invaliditetom. Zloupotrebom ove funkcije može da čita sadržaj ekrana i upravlja aplikacijama bez znanja korisnika.

Među podacima koje pokušava da ukrade nalaze se korisnička imena i lozinke za bankarske i kripto naloge, PIN kodovi, obrasci za otključavanje uređaja, sadržaj SMS poruka, jednokratni kodovi za autentifikaciju i WhatsApp kontakti.

Kada korisnik pokrene neku od ciljanih aplikacija, Rokarolla može da prikaže lažnu stranicu za prijavljivanje preko originalne aplikacije kako bi prikupio podatke za pristup nalogu.

Istraživači su otkrili i funkciju koja menja sadržaj međuspremnika (clipboard). Na primer, ukoliko korisnik kopira adresu svog kripto novčanika, malver može neprimetno da je zameni adresom koju kontrolišu napadači.

Pored toga, Rokarolla periodično pravi snimke ekrana i šalje ih napadačima, dok istovremeno pokušava da onemogući Google Play Protect kako bi izbegao otkrivanje.

Stručnjaci upozoravaju da ova kampanja dolazi u trenutku kada broj pretnji usmerenih na mobilne uređaje nastavlja da raste, zbog čega korisnicima preporučuju preuzimanje aplikacija isključivo iz pouzdanih izvora i dodatni oprez prilikom instaliranja programa koji zahtevaju pristup Android Accessibility Services funkciji.