Følg oss her

Teknologi

Ny Android-trojan skjuler seg som Chrome og TikTok: Stjeler bankkoder og tømmer kryptolommebok

Sikkerhetsforskere har avdekket en Android-trojaner som angriper 217 bank- og kryptoapper.

Publisert

d.

Ny Android-trojan skjuler seg som Chrome og TikTok: Stjeler bankkoder og tømmer kryptolommebok

Skadevaren kalles Rokarolla og kan utføre 137 ulike kommandoer på en infisert telefon, skriver sikkerhetsselskapet Zimperium i en analyse publisert 16. juni 2026. Med dette kommandoarsenalet overgår trojaneren den kjente HOOK-skadevaren, som hadde 107 kommandoer.

Rokarolla spres ikke gjennom Google Play, men gjennom falske nettsider som gir seg ut for å være offisielle nedlastingssider for Google Chrome og TikTok. Når brukeren laster ned filen, presenterer den seg som Google Play Protect, sikkerhetstjenesten Android-brukere er vant til å stole på.

Falske skjermer høster passord og PIN

Når trojaneren først har fått tilgang til telefonens hjelpefunksjoner (Accessibility), kan den i praksis styre enheten som om angriperen sitter med den i hånden. Den legger HTML-baserte falske innloggingssider over de ekte bankappene og fanger opp brukernavn, passord og kortdata.

En egen overleggsfunksjon etterligner Android-låseskjermen og samler inn PIN-koder og opplåsningsmønstre. Trojaneren leser også SMS-er, sender SMS i brukerens navn og blokkerer innkommende anrop, slik at varsler fra banken om mistenkelige transaksjoner stoppes før de når frem.

For å unngå å bli oppdaget kan Rokarolla skjule appikonet sitt, slå av lyd og vibrasjon og deaktivere Google Play Protect.

SMS-koder er den svake lenken

For norske brukere er denne kombinasjonen særlig aktuell. Flere norske banker og betalingstjenester bruker SMS-baserte engangskoder for å bekrefte enkelte transaksjoner, kortkjøp i utlandet eller pålogging til selvbetjeningstjenester. Det er nettopp slike koder Rokarolla er bygget for å avskjære.

Trojaneren manipulerer også utklippstavlen. Hvis brukeren kopierer en kryptolommebokadresse for å sende penger, kan adressen byttes ut med en angriperkontrollert adresse i siste sekund. Overføringen går da til kriminelle, selv om brukeren tror adressen er sjekket.

Zimperium beskriver i analysen at kombinasjonen av funksjoner gir operatørene «nær fullstendig administrativ kontroll over en infisert Android-enhet, og gjør det mulig å begå avansert økonomisk svindel».

Slik beskytter du deg

Det viktigste enkeltrådet er å aldri laste ned Chrome, TikTok eller andre populære apper utenfor Google Play. Apper som ber om Accessibility-tilgang uten en åpenbar grunn bør nektes umiddelbart, uavhengig av hvor legitime de ser ut.

Google Play Protect bør være aktivert. Tjenesten følger med på de fleste Android-telefoner med forhåndsinstallerte Google-tjenester, og blokkerer kjent skadevare før installasjon.

Mistenker man at telefonen allerede er infisert, er rådet å starte enheten i sikker modus, fjerne ukjente apper med administratorrettigheter og deretter kontakte banken for å sperre kort og bytte koder. Tekniske kjennetegn som lar IT-personell identifisere Rokarolla, er publisert i Zimperiums åpne arkiv på GitHub.

Annonse