Rokarolla : un nouveau cheval de Troie Android cible plus de 200 applications bancaires et crypto

Un nouveau logiciel malveillant pour Android, baptisé Rokarolla, a été identifié par des experts en sécurité. Ce cheval de Troie bancaire cible spécifiquement plus de 200 applications liées aux services financiers et aux cryptomonnaies. Sa particularité réside dans sa méthode de distribution : il ne passe pas par le Google Play Store officiel mais est diffusé via des sites web frauduleux imitant les pages de téléchargement d'applications très populaires comme Chrome ou TikTok.

Une fois installé sur l'appareil de la victime, Rokarolla abuse des autorisations système les plus sensibles. Il est capable d'intercepter les codes de validation envoyés par SMS, de dérober les codes PIN de déverrouillage de l'écran et de collecter les identifiants de connexion aux services bancaires en ligne. L'objectif ultime des attaquants est d'accéder aux comptes financiers et de vider les portefeuilles de cryptomonnaies.

Des capacités de prise de contrôle complète

Selon les analyses menées par des sociétés spécialisées en cybersécurité, Rokarolla possède des fonctionnalités avancées de prise de contrôle à distance de l'appareil infecté. Le malware peut afficher de fausses fenêtres de connexion par-dessus des applications légitimes, une technique connue sous le nom d'« overlay », afin de tromper l'utilisateur et de récupérer ses identifiants. Il peut également lire, envoyer et supprimer des messages SMS, ce qui lui permet de contourner l'authentification à deux facteurs reposant sur ce canal.

Des cibles soigneusement sélectionnées

Les chercheurs ont recensé 217 applications financières et de cryptomonnaies dans la ligne de mire de Rokarolla. Cette liste comprend des applications bancaires traditionnelles ainsi que des plateformes d'échange de cryptomonnaies. Le malware est conçu pour s'adapter dynamiquement : si une nouvelle application cible est installée sur l'appareil, il peut être programmé pour la prendre pour cible sans nécessiter de mise à jour.

Recommandations aux utilisateurs

Pour se prémunir contre cette menace, les spécialistes recommandent aux utilisateurs d'Android de n'installer des applications qu'à partir du Google Play Store officiel, et de rester extrêmement prudents face à des sites web proposant le téléchargement d'applications populaires en dehors de cette plateforme. Il est également conseillé de vérifier les autorisations demandées par les applications et de ne pas accorder l'accès aux services d'accessibilité ou la possibilité d'afficher des superpositions à des applications dont la provenance est douteuse. Enfin, l'utilisation d'une solution de sécurité mobile peut aider à détecter et bloquer ce type de menace avant qu'elle ne cause des dommages.