Rokarolla su Android: il falso Play Protect che ruba OTP e dati bancari

Rokarolla su Android: il falso Play Protect che ruba OTP e dati bancari
Android · Sicurezza · Aggiornato: 11 luglio 2026

Zimperium ha documentato Rokarolla, un trojan Android che si finge Google Play Protect per installarsi. Prende di mira 217 app bancarie e crypto tramite un abuso mirato dei permessi di Accessibilità. In questa guida spiego la catena d'infezione, come distinguerlo dal Play Protect reale e la procedura completa se sospetti un'infezione.

In breve

Il dropper iniziale si presenta come Google Play Protect, ma spinge l'utente a concedere autorizzazioni incompatibili con il normale funzionamento di Play Protect, come il ruolo di app predefinita per SMS e chiamate e l'accesso ai Servizi di Accessibilità. Una volta ottenute queste autorizzazioni, il malware può mostrare schermate bancarie false, leggere codici OTP e sostituire gli indirizzi crypto copiati negli appunti.

🔍 Fonte e metodo di verifica
  • Fonte primaria consultata: report tecnico Zimperium zLabs, pubblicato il 16 giugno 2026.
  • Fonti secondarie consultate: BleepingComputer (con la dichiarazione ufficiale di Google) e la guida ufficiale Google Play Help sul funzionamento di Play Protect.
  • Non ho trovato una seconda analisi tecnica completa del campione pubblicata da un altro laboratorio di sicurezza, oltre a quella di Zimperium.
  • Dati non disponibili pubblicamente: numero reale di dispositivi infetti, distribuzione geografica delle vittime, eventuali casi confermati in Italia. Dove il dato non era verificabile, ho scelto di segnalarlo come tale invece di stimarlo.
  • Ultima verifica dell'articolo: 11 luglio 2026.
  • Trasparenza: questo articolo è informativo. Eventuali consigli o link commerciali saranno sempre indicati in modo trasparente.
App nel mirino
217 Secondo il report Zimperium, 16 giugno 2026.
Comandi disponibili
137 Funzioni remote documentate da Zimperium.
Distribuzione
Siti esterni e APK Osservati nella campagna analizzata da Zimperium.

✍️ Rocco Caiazza — Fondatore di ScelgoIo | Luglio 2026

È uno schema simile a quello già analizzato su ScelgoIo nel caso SparkCat: un'app che sembra legittima e ottiene permessi eccessivi per sfruttarli in background. Nel leggere il report Zimperium, la cosa che ha pesato di più nella struttura di questo articolo è stata l'assenza di dati su quante persone siano state effettivamente colpite: per questo, invece di riempire quel vuoto con stime, ho scelto di segnalare chiaramente cosa è confermato dalla fonte primaria e cosa resta ipotesi.

01

Come funziona la catena d'infezione

Secondo il report Zimperium, l'attacco si sviluppa in una sequenza precisa di passaggi, ognuno pensato per abbassare la guardia della vittima nel momento sbagliato.

Tutto parte da un sito web dannoso che imita una pagina di download legittima — nei casi documentati, principalmente per Chrome o TikTok. La vittima scarica un file APK convinta di installare l'app reale. Il primo file, però, non è ancora il malware: è un "dropper", un'app che si presenta con l'interfaccia e il nome di Google Play Protect. Questo passaggio è probabilmente il più efficace dal punto di vista psicologico: chi vede comparire una richiesta che sembra provenire dalla propria protezione ufficiale tende ad abbassare la soglia di sospetto, non ad alzarla.

Una volta avviato, il dropper scarica il payload principale — Rokarolla vero e proprio — e lo installa come secondo passaggio, spesso presentandolo come il completamento dell'installazione di Chrome o TikTok richiesta all'inizio. È a questo punto che il malware richiede i permessi che gli servono per operare: accesso ai Servizi di Accessibilità, lettura delle notifiche, gestione di SMS e chiamate. Con questi permessi ottenuti, il malware si connette al proprio server di comando e controllo, invia informazioni sul dispositivo (modello, versione Android, lingua, batteria, spazio disponibile) e riceve indietro un identificatore univoco per quella specifica infezione, oltre alla lista aggiornata delle 217 app bancarie e crypto da tenere sotto controllo.

Da quel momento, quando la vittima apre una delle applicazioni riconosciute come bersaglio, Rokarolla può mostrare una pagina di accesso falsa sopra quella reale, intercettando le credenziali inserite nella schermata contraffatta.

02

Falso Play Protect contro vero Play Protect

Uno dei modi più efficaci per proteggersi è sapere in anticipo cosa il vero Google Play Protect fa — e soprattutto cosa non fa mai.

Vero Google Play Protect Comportamento tipico di un finto Play Protect
Si gestisce dall'app Google Play Store, non da un'app separata Si presenta come un'app a sé stante, installata da un APK
Non chiede mai di scaricare Chrome o TikTok da un sito esterno Propone di completare il download di un'app popolare
È una funzione integrata nell'ecosistema Google dei dispositivi Android certificati Compare come icona aggiuntiva dopo un'installazione manuale
Non chiede mai di diventare l'app predefinita per SMS o chiamate Può richiedere esplicitamente questo ruolo
Non viene installato come APK separato e non spinge ad attivare i Servizi di Accessibilità Spinge a concedere i Servizi di Accessibilità senza una spiegazione chiara

Il vero segnale d'allarme non è quasi mai un singolo permesso, ma la combinazione di richieste molto invasive provenienti da un'app installata attraverso un sito esterno. Un'app che si presenta come Play Protect non dovrebbe chiedere di diventare il gestore predefinito di SMS e chiamate, né spingere l'utente ad attivare i Servizi di Accessibilità per completare il download di Chrome o TikTok.

03

Cosa significa ogni permesso richiesto

Non basta dire che i permessi richiesti da Rokarolla sono "pericolosi": vale la pena capire cosa fanno legittimamente, e perché in questo caso la combinazione diventa un problema.

Servizi di Accessibilità Pensati per aiutare persone con disabilità a interagire con lo schermo. Permettono di leggere e simulare tocchi su qualsiasi schermata — anche quelle di altre app.
Lettura delle notifiche Usata normalmente da smartwatch o app di produttività. Consente anche di leggere codici OTP inviati come notifica push.
Gestione SMS come app predefinita Serve alle app di messaggistica per sostituire l'app SMS di sistema. Concede accesso completo a lettura e invio di messaggi, inclusi i codici OTP bancari.
Gestione chiamate Usata da app di blocco spam legittime. Permette anche di bloccare selettivamente le chiamate, incluse quelle di allerta frode della banca.
Overlay su altre app Usato legittimamente da traduttori a schermo o note flottanti. Permette di mostrare una schermata falsa sopra un'app bancaria reale.
Amministratore del dispositivo Pensato per la gestione aziendale dei dispositivi (MDM). Concede privilegi elevati che possono rendere più difficile la disinstallazione.
04

I segnali di un possibile contagio

Proprio perché Rokarolla è progettato per restare nascosto — nasconde l'icona dal menu app, silenzia audio e vibrazione, tiene lo schermo acceso — i segnali da notare sono spesso indiretti.

Un'app installata che non trovi più Il malware nasconde la propria icona, ma resta installato e attivo in background.
Batteria che si scarica più in fretta del solito Screenshot ripetuti e comunicazione costante col server richiedono energia extra.
Chiamate o avvisi della banca che non arrivano Se il malware ha ottenuto il controllo delle chiamate, alcuni avvisi di sicurezza potrebbero essere bloccati.
Lo schermo resta acceso più a lungo del previsto Il malware forza lo schermo attivo per non interrompere le proprie operazioni.

Da tenere presente: nessuno di questi elementi, preso singolarmente, dimostra la presenza di Rokarolla — ognuno può avere decine di altre cause del tutto innocue. Il sospetto diventa concreto quando più anomalie compaiono insieme, soprattutto dopo aver installato un APK scaricato da un sito esterno al Play Store.

05

Procedura di emergenza completa

Se sospetti un'infezione, l'ordine dei passaggi conta quanto i passaggi stessi: agire nel modo sbagliato — ad esempio disinstallando subito l'app prima di revocarle i privilegi — può renderne più difficile la rimozione completa.

  1. Attiva la modalità aereo e verifica che Wi-Fi e Bluetooth siano disattivati, così da interrompere quanto prima le comunicazioni del dispositivo con il server del malware.
  2. Non aprire app bancarie o wallet crypto dal telefono sospetto, nemmeno per controllare il saldo.
  3. Usa un altro dispositivo, sicuramente pulito, per i passaggi successivi che richiedono un accesso online.
  4. Contatta la tua banca per segnalare un possibile accesso non autorizzato e valutare il blocco temporaneo di carte o home banking.
  5. Revoca le sessioni attive di app bancarie, email ed exchange dal pannello di sicurezza di ciascun servizio, usando il dispositivo pulito.
  6. Cambia le password di tutti i servizi sensibili, sempre dal dispositivo pulito, mai dal telefono sospetto.
  7. Verifica email e account per movimenti anomali: richieste di reset password non richieste, notifiche di accesso da luoghi sconosciuti.
  8. Riavvia il telefono in modalità provvisoria — su Android disattiva temporaneamente la maggior parte delle app di terze parti, rendendo più facile intervenire senza interferenze del malware. La combinazione di tasti varia da produttore a produttore: cerca "modalità provvisoria" seguito dal modello del tuo telefono se non la trovi subito.
  9. Revoca l'accesso ai Servizi di Accessibilità dall'app sospetta, prima di qualsiasi altra azione sul dispositivo.
  10. Disinstalla l'app sospetta solo dopo aver revocato tutti i suoi permessi elevati.
  11. Esegui una scansione con Google Play Protect: apri il Play Store, tocca l'immagine del profilo in alto a destra, entra in "Play Protect" e poi in "Impostazioni". Verifica che sia attiva l'opzione "Analizza le app con Play Protect" e, se presente, "Migliora il rilevamento delle app dannose".
  12. Aggiorna Android all'ultima versione disponibile per il tuo dispositivo.
  13. Valuta un ripristino alle impostazioni di fabbrica nei casi più gravi o se hai dubbi sulla pulizia completa del sistema.
  14. Dopo il ripristino, reinstalla le applicazioni attraverso il Play Store o il sito ufficiale verificato del produttore, evitando di riutilizzare file APK già scaricati.

Nota: i nomi esatti dei menu nelle impostazioni possono cambiare in base alla marca dello smartphone (Samsung, Xiaomi, Motorola, Oppo, Google Pixel) e alla versione di Android. In caso di dubbio, usa la ricerca interna delle Impostazioni digitando "Accessibilità", "Amministratore dispositivo" oppure "App predefinite".

06

Banca, password e wallet crypto: cosa fare

Sui wallet crypto in particolare, conviene distinguere bene i casi, perché le contromisure cambiano a seconda di cosa potrebbe essere stato compromesso.

  • Indirizzo copiato e sostituito negli appunti: verifica almeno l'inizio e la parte finale dell'indirizzo prima di confermare un invio e, per importi rilevanti, esegui prima una transazione di prova di piccolo valore.
  • Password dell'app wallet: cambiala dal dispositivo pulito, non dal telefono sospetto.
  • Seed phrase o chiave privata potenzialmente visualizzate sul telefono infetto: in questo caso la password non basta. Crea un nuovo wallet su un dispositivo pulito e trasferisci i fondi appena possibile.
  • Wallet custodial su un exchange: cambia password, revoca le sessioni attive e rigenera la verifica a due fattori direttamente dal pannello dell'exchange.
  • Wallet non custodial: la sicurezza dipende interamente da dove è stata generata e conservata la seed phrase — se è stata digitata o mostrata sul telefono sospetto, va considerata compromessa.

Un'ultima precisazione sulla 2FA: un'app di autenticazione a codici installata sullo stesso telefono completamente controllato dal malware non è una protezione assoluta, perché quei codici possono essere letti dallo schermo tramite gli stessi Servizi di Accessibilità abusati per il resto dell'attacco. Dove possibile, preferisci passkey, chiavi di sicurezza hardware, oppure un'app di autenticazione installata su un dispositivo separato — e in ogni caso, dopo un'infezione, revoca le sessioni attive e i dispositivi autorizzati su ogni servizio sensibile.

Ho già scritto come capire se un dispositivo è stato compromesso passo per passo: gli stessi controlli su consumo batteria anomalo e app sconosciute con permessi elevati valgono anche in questo caso.

07

Cosa sappiamo e cosa non sappiamo

Informazione Stato
217 app bancarie e crypto nel mirino Confermato da Zimperium
137 comandi remoti disponibili Confermato da Zimperium
Distribuzione tramite siti falsi Confermata
Presenza sul Play Store Non rilevata in questa campagna
Numero reale di vittime Non pubblicato
Vittime italiane Non confermate pubblicamente
Elenco completo delle app bersaglio e presenza di istituti italiani Non verificabile dalle informazioni pubblicate
Capacità di intercettare OTP via SMS Documentata da Zimperium
08

Errori da non commettere

  • Non disinstallare subito l'app sospetta prima di averle revocato i permessi di Accessibilità e amministratore.
  • Non cambiare password bancarie o dell'exchange dal telefono sospetto: usa sempre un dispositivo diverso.
  • Non copiare né incollare indirizzi wallet dal telefono infetto, nemmeno per verificarli.
  • Non fidarti di un'app solo perché mostra il logo o il nome di Google: verifica sempre la fonte di provenienza.
  • Non reinstallare automaticamente app o file da fonti sconosciute dopo un ripristino: passa dal Play Store o dal sito ufficiale verificato del produttore.
  • Non pubblicare online screenshot con dati bancari o personali, nemmeno per chiedere aiuto in un forum.
  • Non dare per scontato che un antivirus cancelli automaticamente ogni conseguenza dell'infezione: la pulizia richiede comunque i passaggi manuali descritti sopra.
09

Cosa significa per un lettore italiano

Il report di Zimperium non specifica quali Paesi siano stati colpiti in modo prevalente, né pubblica un elenco dettagliato delle 217 app target: di conseguenza, eventuali affermazioni sul coinvolgimento di una banca o di un exchange italiano specifico devono essere accompagnate da una fonte verificabile, non da supposizioni.

Quello che vale comunque per un lettore italiano è il principio generale: se usi app bancarie, Poste o exchange crypto sul tuo smartphone Android, e hai installato di recente un'app da un sito esterno al Play Store, i controlli descritti in questa guida vanno fatti a prescindere dalla conferma di un caso italiano specifico. In caso di operazioni sospette, il primo contatto resta sempre la tua banca o Poste Italiane tramite i canali ufficiali (mai numeri trovati via SMS o email), seguito dall'exchange se hai wallet custodial coinvolti. Se la SIM perde improvvisamente il segnale senza una causa evidente, contatta l'operatore tramite un altro telefono: potrebbe trattarsi di un semplice problema tecnico, ma in presenza di accessi anomali agli account è opportuno escludere anche un possibile SIM swap come controllo prudenziale — non è una capacità specifica documentata per Rokarolla, ma una verifica generale che vale in ogni caso di sospetta compromissione.

Quick checklist — come evitare Rokarolla e malware simili
Installi app solo dal Play Store? Riduce fortemente il rischio legato a questa specifica campagna.
Un sito ti chiede di scaricare Chrome o TikTok fuori dallo store? È un segnale d'allarme immediato: chiudi la pagina.
Un'app ti chiede permessi di Accessibilità senza motivo evidente? Rifiuta: è una delle autorizzazioni centrali usate dal malware per controllare ciò che appare sullo schermo.
Play Protect risulta disattivato senza che tu l'abbia fatto? Riattivalo subito e verifica le app installate di recente.
📚 Fonti per approfondire
10

Domande frequenti

Rokarolla si trova sul Google Play Store? +
Secondo l'analisi disponibile, Rokarolla non è stato distribuito attraverso Google Play, ma tramite siti esterni e file APK. Questo riduce in modo significativo il rischio per chi installa solo dal Play Store, anche se non elimina in assoluto ogni possibile minaccia Android, dato che in passato app dannose sono state individuate anche all'interno dello store ufficiale.
Google Play Protect mi protegge già automaticamente? +
In una dichiarazione riportata da BleepingComputer, Google ha affermato che Play Protect protegge automaticamente gli utenti dalle varianti note identificate in questa campagna. Play Protect è attivo per impostazione predefinita, ma è comunque consigliabile verificare periodicamente che la scansione sia effettivamente attiva nelle impostazioni.
Quante persone sono state colpite finora? +
Zimperium non ha pubblicato numeri ufficiali sulla scala reale delle infezioni: il report documenta le capacità tecniche del malware, non un conteggio delle vittime. La diffusione effettiva, in Italia e altrove, resta quindi non nota con precisione.
Perché la richiesta di Accessibilità è così pericolosa? +
I Servizi di Accessibilità permettono a un'app di leggere e interagire con qualsiasi schermata del telefono, incluse quelle di altre app. È lo stesso permesso pensato per aiutare persone con disabilità, ma se abusato consente di leggere schermate bancarie, simulare tocchi e bypassare molte protezioni di sistema.
Un codice di autenticazione via app è al sicuro su un telefono infetto? +
Non del tutto: se l'app di autenticazione è installata sullo stesso telefono compromesso, i codici possono essere letti dallo schermo tramite gli stessi Servizi di Accessibilità abusati dal malware. Dopo un'infezione, meglio revocare le sessioni attive e i dispositivi autorizzati su ogni servizio sensibile.
Rocco Caiazza
Rocco Caiazza Fondatore di ScelgoIo · Luglio 2026
Chi è Rocco →

Autore: Rocco Caiazza – Fondatore di ScelgoIo