Rokarolla-Trojaner, Banking-Apps

Rokarolla-Trojaner: 217 Banking-Apps im Visier von Cyberkriminellen

17.06.2026 - 14:25:37 | boerse-global.de

Der Banking-Trojaner Rokarolla zielt auf 217 Apps ab und ermöglicht Angreifern die vollständige Fernsteuerung infizierter Android-Geräte.

Rokarolla: Neuer Android-Trojaner bedroht Banking-Apps
Rokarolla-Trojaner - Ein Smartphone-Bildschirm zeigt eine gestörte Banking-App mit einem dunklen, digitalen Schloss-Symbol, um Datenklau darzustellen. 17.06.2026 - Bild: über boerse-global.de

Rokarolla kombiniert klassische Betrugsmethoden mit weitreichender Geräteüberwachung und Fernsteuerung.

217 Apps im Visier der Angreifer

Anzeige

Banking, E-Mails, Fotos – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, was sie zum Hauptziel für Trojaner wie Rokarolla macht. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Android-Gerät wirksam vor Hackern und Datenmissbrauch zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Malware richtet sich gegen 217 verschiedene Banking- und Krypto-Applikationen, wie Zimperium zLabs am Dienstag berichtete. Verbreitet wird Rokarolla über manipulierte Websites, die populäre Dienste wie TikTok oder Chrome imitieren.

Ein zentraler Bestandteil der Infektionskette ist ein sogenannter Dropper. Er tarnt sich als Google Play Protect und drängt Nutzer zur Installation.

Die Schadsoftware verfügt über 137 verschiedene Befehle. Damit können Angreifer praktisch die vollständige Kontrolle über infizierte Geräte übernehmen. Besonders perfide: Rokarolla missbraucht die Android-Bedienungshilfen (Accessibility Services), um weitreichende Berechtigungen ohne Zustimmung des Nutzers zu erhalten.

Keylogger und manipulierte Overlays

Der Trojaner greift sensible Daten auf mehreren Wegen ab. Keylogger zeichnen Tastatureingaben auf, während manipulierte HTML-Overlays sich über legitime Bank-Apps legen. So gelangen die Angreifer an Anmeldedaten und PIN-Codes für den Sperrbildschirm.

Auch SMS-Nachrichten, Kontakte und Bildschirminhalte werden systematisch ausgelesen.

Eine besonders hinterhältige Methode ist das Clipboard-Hijacking. Die Malware überwacht die Zwischenablage auf Krypto-Wallet-Adressen. Sobald der Nutzer eine solche Adresse kopiert, ersetzt Rokarolla sie unbemerkt durch eine Zieladresse der Angreifer. Zahlungen landen so auf den Konten der Kriminellen.

Schutzmechanismen werden ausgehebelt

Anzeige

Ein veraltetes Smartphone oder unbemerkte Sicherheitslücken sind wie eine offene Haustür für Cyberkriminelle, die es auf Ihr Online-Banking abgesehen haben. Erfahren Sie in diesem kostenlosen Report, wie Sie gefährliche Apps erkennen und Ihr Android-System durch die richtigen Updates dauerhaft absichern. Kostenlosen Sicherheits-Report jetzt herunterladen

Um die Infektion zu sichern, deaktiviert der Trojaner das echte Google Play Protect. Zudem blockiert er eingehende Anrufe und Nachrichten von Banken. Betroffene erhalten so keine Warnungen über verdächtige Transaktionen und bemerken auch manipulierte Zwei-Faktor-Authentifizierungen nicht rechtzeitig.

Für die Kommunikation mit den Hintermännern nutzt Rokarolla mehrere Ausweich-Server (C2-Domains). Das erschwert die Bekämpfung der Infrastruktur erheblich.

Die Malware setzt zudem auf Pseudo-VNC-Überwachung. So können Angreifer die Bildschirmaktivitäten in Echtzeit verfolgen und bei Bedarf eingreifen.

de | wissenschaft | 69562517 |