Nach Darstellung von Zimperium beginnt die Angriffskette mit einer Dropper-App, die sich als legitime Android-Sicherheitskomponente ausgibt und eine zweite Stufe nachlädt. Anschließend missbraucht die Malware die Bedienungshilfen und fordert weitreichende Berechtigungen für SMS, Benachrichtigungen und die Gerätesteuerung an.

Ist Rokarolla aktiv, kommuniziert die Malware über HTTPS mit ihrer Command-and-Control-Infrastruktur, übermittelt Gerätedaten und empfängt Anweisungen der Betreiber. Laut Zimperium nutzen die Angreifer mehrere Ausweich-Domains und dynamische Aktualisierungen der C2-Infrastruktur, um die Widerstandsfähigkeit gegen Abschaltungen zu erhöhen.

Der Trojaner kann laut Bericht Zugangsdaten für den Sperrbildschirm abgreifen, Kontaktlisten und SMS-Daten exfiltrieren und mit Tastaturprotokollierung fortlaufend Benutzereingaben aufzeichnen. Zimperium zufolge blockiert die Malware außerdem eingehende Anrufe, blendet betrügerische Bildschirm-Overlays ein, unterdrückt den Ton des Geräts und deaktiviert Google Play Protect. Zusätzlich versteckt sie ihr Symbol im App-Drawer und schaltet Audio sowie Vibrationen stumm, damit Warnhinweise oder Verifizierungsanrufe unbemerkt bleiben.

Eine zentrale Rolle spielt ein gefälschtes Overlay, das die legitime Android-Sperrbildschirmoberfläche eng nachahmt. Dadurch können Angreifer laut Zimperium sogar dann Befehle ausführen, wenn das Gerät gesperrt ist. Alle Zugangsdaten, die ein Nutzer in diese täuschend echte Oberfläche eingibt, würden erfasst und anschließend an von den Angreifern kontrollierte Infrastruktur übertragen, schrieben die Forscher Vishnu Pratapagiri und Fernando Ortega.

Jason Soroko, Senior Fellow bei Sectigo, sieht darin eine Verschiebung des Schwerpunkts: „Der Trojaner Rokarolla verlagert den Fokus von Zugangsdaten-Diebstahl auf die Isolierung des Opfers.“ Er sagte Dark Reading per E-Mail, Entwickler hätten zwar bereits früher Bildschirm-Overlays und Zugriffswerkzeuge kombiniert, doch diese Software erzeuge ein „Informationsvakuum“. Die App blockiere Anrufe und fange Textnachrichten ab, um zu verhindern, dass Banken Nutzer über Betrug informieren.

Soroko zufolge sperrt diese Strategie Betroffene in eine Situation ein, in der sie ihr Smartphone zwar noch besitzen, es aber nicht mehr unter ihrer Kontrolle steht. Der Angreifer bestimme, welche Informationen auf das Gerät gelangen oder es verlassen. Er erklärte zudem, Kriminelle müssten die Smartphone-Hardware übernehmen, um Transaktionen auszuführen, da Passwörter gegen Sicherheitsprotokolle von Netzwerken allein nicht ausreichten.

Im Unternehmenskontext verweist der Bericht auf Risiken durch Bring-your-own-device-Modelle. Bedrohungen für mobile Geräte seien dadurch nicht mehr auf einzelne Nutzer beschränkt, sondern könnten sich über am Arbeitsplatz verwendete mobile Apps oder Netzwerkverbindungen auf Daten in Unternehmensnetzen auswirken.

Zur Erkennung von Rokarolla hat Zimperium eine Liste mit Kompromittierungsindikatoren auf einer GitHub-Seite veröffentlicht, für die eine Anmeldung erforderlich ist. Außerdem enthält der Bericht eine vollständige Übersicht der MITRE-Taktiken und -Techniken für die Angriffskette von Rokarolla. Boris Cipot, Principal Security Engineer bei Black Duck, sagte Dark Reading, Unternehmen sollten Android-Geräte als vollwertige Endpunkte mit hohem Risiko behandeln und auf Erkennung von Verhaltensanomalien wie Overlay-Missbrauch, Missbrauch von Bedienungshilfen und verdächtiger Command-and-Control-Kommunikation setzen.