Zimperium beschreibt Rokarolla als Banking-Trojaner für Android mit einem ungewöhnlich breiten Funktionsumfang. Der Schadcode verfügt laut den Forschern über 137 Befehle. Das Unternehmen hat dazu ein GitHub-Repository mit sämtlichen verfügbaren Kommandos veröffentlicht.

Verbreitet wird die Malware über manipulierte Webseiten, die angeblich Google Chrome oder TikTok bereitstellen. Im Installationsprozess fungiert die schädliche Anwendung als Dropper und gibt sich als Google Play Protect aus, also als integriertes Anti-Malware-System von Android. Nutzer bekommen dabei die Option angezeigt, Chrome oder TikTok zu installieren, erhalten tatsächlich aber die mit Rokarolla verseuchte App.

Nach dem Start auf dem Gerät verlangt Rokarolla laut Zimperium Berechtigungen für den Bedienungshilfen-Dienst sowie Zugriff auf Benachrichtigungen, SMS und Anrufe. Anschließend beginnt die Kommunikation mit dem Command-and-Control-Server. Dabei wird zunächst ein grundlegendes Geräteprofil übertragen, darunter Telefonmodell, installierte Android-Version, Gebietsschema, Anzeigeeigenschaften, Akkustand, Speicherkapazität und verfügbarer Arbeitsspeicher. Nach Angaben von Zimperium dient das dazu, für jedes Opfer der Rokarolla-Kampagne eine eindeutige Kennung zu erzeugen.

Das Hauptziel der Malware ist Zimperium zufolge offenbar der Diebstahl finanzieller Informationen. Rokarolla gleicht das infizierte Gerät mit einer Liste von 217 anvisierten Anwendungen ab und lädt anschließend die passende Phishing-Nutzlast für erkannte Apps herunter. Öffnet das Opfer eine Anwendung aus dieser Liste, blendet die Malware eine gefälschte Login-Oberfläche ein, um Anmeldedaten, Kreditkarteninformationen und weitere Finanzdaten abzugreifen.

Die Overlay-Technik nutzt Rokarolla nicht nur zum Datendiebstahl. Laut Bericht erfasst die Schadsoftware auf diesem Weg auch PIN oder Entsperrmuster des Sperrbildschirms und kann das Gerät sogar bedienen, wenn es gesperrt ist. Zudem werden Overlays eingesetzt, um schädliche Aktivitäten zu verbergen und die Interaktion des Nutzers zu blockieren, etwa durch gefälschte Installationsbildschirme.

Zu den weiteren Ausweich- und Tarnmechanismen zählen laut Zimperium das Deaktivieren von Google Play Protect, das Verstecken des App-Symbols im App-Drawer, das Stummschalten von Audio und Vibration sowie das dauerhafte Aktivhalten des Bildschirms. Zu den Datendiebstahl-Funktionen gehören außerdem das Abgreifen von Sperrbildschirm-Zugangsdaten, Kontaktlisten und SMS-Daten sowie der Einsatz von Keyloggern, die Benutzereingaben fortlaufend mitschneiden.

In der Summe verschaffen diese Fähigkeiten den Betreibern von Rokarolla nach Einschätzung von Zimperium eine nahezu vollständige administrative Kontrolle über infizierte Android-Geräte. Auf Google Play, dem offiziellen App-Repository für Android, hat Zimperium die Malware nach eigenen Angaben nicht gefunden.