Teknologi
Ny Android-trojan skjuler seg som Chrome og TikTok: Stjeler bankkoder og tømmer kryptolommebok
Sikkerhetsforskere har avdekket en Android-trojaner som angriper 217 bank- og kryptoapper.
Skadevaren kalles Rokarolla og kan utføre 137 ulike kommandoer på en infisert telefon, skriver sikkerhetsselskapet Zimperium i en analyse publisert 16. juni 2026. Med dette kommandoarsenalet overgår trojaneren den kjente HOOK-skadevaren, som hadde 107 kommandoer.
Rokarolla spres ikke gjennom Google Play, men gjennom falske nettsider som gir seg ut for å være offisielle nedlastingssider for Google Chrome og TikTok. Når brukeren laster ned filen, presenterer den seg som Google Play Protect, sikkerhetstjenesten Android-brukere er vant til å stole på.
Falske skjermer høster passord og PIN
Når trojaneren først har fått tilgang til telefonens hjelpefunksjoner (Accessibility), kan den i praksis styre enheten som om angriperen sitter med den i hånden. Den legger HTML-baserte falske innloggingssider over de ekte bankappene og fanger opp brukernavn, passord og kortdata.
En egen overleggsfunksjon etterligner Android-låseskjermen og samler inn PIN-koder og opplåsningsmønstre. Trojaneren leser også SMS-er, sender SMS i brukerens navn og blokkerer innkommende anrop, slik at varsler fra banken om mistenkelige transaksjoner stoppes før de når frem.
For å unngå å bli oppdaget kan Rokarolla skjule appikonet sitt, slå av lyd og vibrasjon og deaktivere Google Play Protect.
SMS-koder er den svake lenken
For norske brukere er denne kombinasjonen særlig aktuell. Flere norske banker og betalingstjenester bruker SMS-baserte engangskoder for å bekrefte enkelte transaksjoner, kortkjøp i utlandet eller pålogging til selvbetjeningstjenester. Det er nettopp slike koder Rokarolla er bygget for å avskjære.
Trojaneren manipulerer også utklippstavlen. Hvis brukeren kopierer en kryptolommebokadresse for å sende penger, kan adressen byttes ut med en angriperkontrollert adresse i siste sekund. Overføringen går da til kriminelle, selv om brukeren tror adressen er sjekket.
Zimperium beskriver i analysen at kombinasjonen av funksjoner gir operatørene «nær fullstendig administrativ kontroll over en infisert Android-enhet, og gjør det mulig å begå avansert økonomisk svindel».
Slik beskytter du deg
Det viktigste enkeltrådet er å aldri laste ned Chrome, TikTok eller andre populære apper utenfor Google Play. Apper som ber om Accessibility-tilgang uten en åpenbar grunn bør nektes umiddelbart, uavhengig av hvor legitime de ser ut.
Google Play Protect bør være aktivert. Tjenesten følger med på de fleste Android-telefoner med forhåndsinstallerte Google-tjenester, og blokkerer kjent skadevare før installasjon.
Mistenker man at telefonen allerede er infisert, er rådet å starte enheten i sikker modus, fjerne ukjente apper med administratorrettigheter og deretter kontakte banken for å sperre kort og bytte koder. Tekniske kjennetegn som lar IT-personell identifisere Rokarolla, er publisert i Zimperiums åpne arkiv på GitHub.

