Zimperium zufolge beginnt die Infektionskette mit einem Dropper, der sich als Google Play Protect ausgibt. Unter dieser Tarnung installiert er die eigentliche Nutzlast und fordert Zugriff über die Android-Bedienungshilfen an. Sobald die Malware aktiv ist, schaltet einer ihrer Befehle Play Protect ab.

Die eigentliche Datenerbeutung läuft über Overlays. Rokarolla bezieht von seinem Server eine Zielliste und lädt für jede als aktiv markierte App eine gefälschte HTML-Anmeldeseite herunter, die lokal in einer Datenbank gespeichert wird. Öffnet das Opfer später die echte Banking- oder Wallet-App, legt die Malware die Fälschung darüber und erfasst alle Eingaben, einschließlich Kartendaten. Der Bericht zeigt als Beispiel eine gefälschte Seite, die die Banking-App „imagin“ nachahmt.

Ein separates Overlay ahmt zudem den Android-Sperrbildschirm nach, um PIN, Muster oder Passwort abzugreifen. Damit kann der Betreiber das Gerät laut Zimperium selbst dann steuern, wenn es gesperrt ist. Hinzu kommt, dass Rokarolla sämtliche SMS auf dem Gerät liest und auch selbst Nachrichten versenden kann. Das reicht aus, um SMS-Einmalcodes abzugreifen, die Banken zur Bestätigung von Anmeldungen und Transaktionen nutzen.

Indem sich die Malware als Standard-App für SMS und Anrufe einträgt, kann sie auch eingehende Anrufe blockieren. So kommt etwa ein Warnanruf der Bank nicht mehr durch. Außerdem protokollieren ein Tastatur-Logger und ein Bildschirm-Logger, was der Nutzer eingibt und sieht. Rokarolla sammelt zudem Kontakte und liest Benachrichtigungen aus.

Für Angriffe auf Kryptowallets manipuliert die Schadsoftware unbemerkt die Zwischenablage. Dabei ersetzt sie kopierte Wallet-Adressen durch Adressen der Angreifer, sodass eine Kryptozahlung auf dem falschen Konto landet. Bei der Überwachung verzichtet Rokarolla laut Zimperium auf das übliche Bildschirm-Casting über MediaProjection, das einen sichtbaren Aufnahmehinweis einblendet. Stattdessen erstellt die Malware über die Bedienungshilfen Bildschirmfotos, komprimiert sie als PNG und überträgt sie Bild für Bild.

Zimperium bewertet diesen Ansatz als einfacher und unauffälliger als das versteckte Live-VNC, das bei Familien wie Klopatra zu sehen war. Für die Kommandoinfrastruktur nutzt Rokarolla mehrere Ausweich-Domains und kann bei Bedarf neue Adressen erhalten. Das Abschalten eines einzelnen Servers reicht daher wenig aus. Mit 137 Befehlen übertrifft die Malware die 107 Befehle, die Zimperium beim Trojaner HOOK gezählt hatte.

Eine Zuordnung zu einer benannten Gruppe nimmt Zimperium nicht vor. Der Hersteller verweist darauf, dass es sich nicht um eine Produktschwachstelle handelt, sondern um Malware. Nach Angaben des Unternehmens erkennen die eigenen Produkte die Familie; Kompromittierungsindikatoren stellt Zimperium in seinem GitHub-Repository bereit.