Rokarolla su Android: il falso Play Protect che ruba OTP e dati bancari
Zimperium ha documentato Rokarolla, un trojan Android che si finge Google Play Protect per installarsi. Prende di mira 217 app bancarie e crypto tramite un abuso mirato dei permessi di Accessibilità. In questa guida spiego la catena d'infezione, come distinguerlo dal Play Protect reale e la procedura completa se sospetti un'infezione.
In breve
Il dropper iniziale si presenta come Google Play Protect, ma spinge l'utente a concedere autorizzazioni incompatibili con il normale funzionamento di Play Protect, come il ruolo di app predefinita per SMS e chiamate e l'accesso ai Servizi di Accessibilità. Una volta ottenute queste autorizzazioni, il malware può mostrare schermate bancarie false, leggere codici OTP e sostituire gli indirizzi crypto copiati negli appunti.
- Fonte primaria consultata: report tecnico Zimperium zLabs, pubblicato il 16 giugno 2026.
- Fonti secondarie consultate: BleepingComputer (con la dichiarazione ufficiale di Google) e la guida ufficiale Google Play Help sul funzionamento di Play Protect.
- Non ho trovato una seconda analisi tecnica completa del campione pubblicata da un altro laboratorio di sicurezza, oltre a quella di Zimperium.
- Dati non disponibili pubblicamente: numero reale di dispositivi infetti, distribuzione geografica delle vittime, eventuali casi confermati in Italia. Dove il dato non era verificabile, ho scelto di segnalarlo come tale invece di stimarlo.
- Ultima verifica dell'articolo: 11 luglio 2026.
- Trasparenza: questo articolo è informativo. Eventuali consigli o link commerciali saranno sempre indicati in modo trasparente.
✍️ Rocco Caiazza — Fondatore di ScelgoIo | Luglio 2026
È uno schema simile a quello già analizzato su ScelgoIo nel caso SparkCat: un'app che sembra legittima e ottiene permessi eccessivi per sfruttarli in background. Nel leggere il report Zimperium, la cosa che ha pesato di più nella struttura di questo articolo è stata l'assenza di dati su quante persone siano state effettivamente colpite: per questo, invece di riempire quel vuoto con stime, ho scelto di segnalare chiaramente cosa è confermato dalla fonte primaria e cosa resta ipotesi.
- Come funziona la catena d'infezione
- Falso Play Protect contro vero Play Protect
- Cosa significa ogni permesso richiesto
- I segnali di un possibile contagio
- Procedura di emergenza completa
- Banca, password e wallet crypto: cosa fare
- Cosa sappiamo e cosa non sappiamo
- Errori da non commettere
- Cosa significa per un lettore italiano
- Domande frequenti
Come funziona la catena d'infezione
Secondo il report Zimperium, l'attacco si sviluppa in una sequenza precisa di passaggi, ognuno pensato per abbassare la guardia della vittima nel momento sbagliato.
Tutto parte da un sito web dannoso che imita una pagina di download legittima — nei casi documentati, principalmente per Chrome o TikTok. La vittima scarica un file APK convinta di installare l'app reale. Il primo file, però, non è ancora il malware: è un "dropper", un'app che si presenta con l'interfaccia e il nome di Google Play Protect. Questo passaggio è probabilmente il più efficace dal punto di vista psicologico: chi vede comparire una richiesta che sembra provenire dalla propria protezione ufficiale tende ad abbassare la soglia di sospetto, non ad alzarla.
Una volta avviato, il dropper scarica il payload principale — Rokarolla vero e proprio — e lo installa come secondo passaggio, spesso presentandolo come il completamento dell'installazione di Chrome o TikTok richiesta all'inizio. È a questo punto che il malware richiede i permessi che gli servono per operare: accesso ai Servizi di Accessibilità, lettura delle notifiche, gestione di SMS e chiamate. Con questi permessi ottenuti, il malware si connette al proprio server di comando e controllo, invia informazioni sul dispositivo (modello, versione Android, lingua, batteria, spazio disponibile) e riceve indietro un identificatore univoco per quella specifica infezione, oltre alla lista aggiornata delle 217 app bancarie e crypto da tenere sotto controllo.
Da quel momento, quando la vittima apre una delle applicazioni riconosciute come bersaglio, Rokarolla può mostrare una pagina di accesso falsa sopra quella reale, intercettando le credenziali inserite nella schermata contraffatta.
Falso Play Protect contro vero Play Protect
Uno dei modi più efficaci per proteggersi è sapere in anticipo cosa il vero Google Play Protect fa — e soprattutto cosa non fa mai.
Il vero segnale d'allarme non è quasi mai un singolo permesso, ma la combinazione di richieste molto invasive provenienti da un'app installata attraverso un sito esterno. Un'app che si presenta come Play Protect non dovrebbe chiedere di diventare il gestore predefinito di SMS e chiamate, né spingere l'utente ad attivare i Servizi di Accessibilità per completare il download di Chrome o TikTok.
Cosa significa ogni permesso richiesto
Non basta dire che i permessi richiesti da Rokarolla sono "pericolosi": vale la pena capire cosa fanno legittimamente, e perché in questo caso la combinazione diventa un problema.
I segnali di un possibile contagio
Proprio perché Rokarolla è progettato per restare nascosto — nasconde l'icona dal menu app, silenzia audio e vibrazione, tiene lo schermo acceso — i segnali da notare sono spesso indiretti.
Da tenere presente: nessuno di questi elementi, preso singolarmente, dimostra la presenza di Rokarolla — ognuno può avere decine di altre cause del tutto innocue. Il sospetto diventa concreto quando più anomalie compaiono insieme, soprattutto dopo aver installato un APK scaricato da un sito esterno al Play Store.
Procedura di emergenza completa
Se sospetti un'infezione, l'ordine dei passaggi conta quanto i passaggi stessi: agire nel modo sbagliato — ad esempio disinstallando subito l'app prima di revocarle i privilegi — può renderne più difficile la rimozione completa.
- Attiva la modalità aereo e verifica che Wi-Fi e Bluetooth siano disattivati, così da interrompere quanto prima le comunicazioni del dispositivo con il server del malware.
- Non aprire app bancarie o wallet crypto dal telefono sospetto, nemmeno per controllare il saldo.
- Usa un altro dispositivo, sicuramente pulito, per i passaggi successivi che richiedono un accesso online.
- Contatta la tua banca per segnalare un possibile accesso non autorizzato e valutare il blocco temporaneo di carte o home banking.
- Revoca le sessioni attive di app bancarie, email ed exchange dal pannello di sicurezza di ciascun servizio, usando il dispositivo pulito.
- Cambia le password di tutti i servizi sensibili, sempre dal dispositivo pulito, mai dal telefono sospetto.
- Verifica email e account per movimenti anomali: richieste di reset password non richieste, notifiche di accesso da luoghi sconosciuti.
- Riavvia il telefono in modalità provvisoria — su Android disattiva temporaneamente la maggior parte delle app di terze parti, rendendo più facile intervenire senza interferenze del malware. La combinazione di tasti varia da produttore a produttore: cerca "modalità provvisoria" seguito dal modello del tuo telefono se non la trovi subito.
- Revoca l'accesso ai Servizi di Accessibilità dall'app sospetta, prima di qualsiasi altra azione sul dispositivo.
- Disinstalla l'app sospetta solo dopo aver revocato tutti i suoi permessi elevati.
- Esegui una scansione con Google Play Protect: apri il Play Store, tocca l'immagine del profilo in alto a destra, entra in "Play Protect" e poi in "Impostazioni". Verifica che sia attiva l'opzione "Analizza le app con Play Protect" e, se presente, "Migliora il rilevamento delle app dannose".
- Aggiorna Android all'ultima versione disponibile per il tuo dispositivo.
- Valuta un ripristino alle impostazioni di fabbrica nei casi più gravi o se hai dubbi sulla pulizia completa del sistema.
- Dopo il ripristino, reinstalla le applicazioni attraverso il Play Store o il sito ufficiale verificato del produttore, evitando di riutilizzare file APK già scaricati.
Nota: i nomi esatti dei menu nelle impostazioni possono cambiare in base alla marca dello smartphone (Samsung, Xiaomi, Motorola, Oppo, Google Pixel) e alla versione di Android. In caso di dubbio, usa la ricerca interna delle Impostazioni digitando "Accessibilità", "Amministratore dispositivo" oppure "App predefinite".
Banca, password e wallet crypto: cosa fare
Sui wallet crypto in particolare, conviene distinguere bene i casi, perché le contromisure cambiano a seconda di cosa potrebbe essere stato compromesso.
- Indirizzo copiato e sostituito negli appunti: verifica almeno l'inizio e la parte finale dell'indirizzo prima di confermare un invio e, per importi rilevanti, esegui prima una transazione di prova di piccolo valore.
- Password dell'app wallet: cambiala dal dispositivo pulito, non dal telefono sospetto.
- Seed phrase o chiave privata potenzialmente visualizzate sul telefono infetto: in questo caso la password non basta. Crea un nuovo wallet su un dispositivo pulito e trasferisci i fondi appena possibile.
- Wallet custodial su un exchange: cambia password, revoca le sessioni attive e rigenera la verifica a due fattori direttamente dal pannello dell'exchange.
- Wallet non custodial: la sicurezza dipende interamente da dove è stata generata e conservata la seed phrase — se è stata digitata o mostrata sul telefono sospetto, va considerata compromessa.
Un'ultima precisazione sulla 2FA: un'app di autenticazione a codici installata sullo stesso telefono completamente controllato dal malware non è una protezione assoluta, perché quei codici possono essere letti dallo schermo tramite gli stessi Servizi di Accessibilità abusati per il resto dell'attacco. Dove possibile, preferisci passkey, chiavi di sicurezza hardware, oppure un'app di autenticazione installata su un dispositivo separato — e in ogni caso, dopo un'infezione, revoca le sessioni attive e i dispositivi autorizzati su ogni servizio sensibile.
Ho già scritto come capire se un dispositivo è stato compromesso passo per passo: gli stessi controlli su consumo batteria anomalo e app sconosciute con permessi elevati valgono anche in questo caso.
Cosa sappiamo e cosa non sappiamo
Errori da non commettere
- Non disinstallare subito l'app sospetta prima di averle revocato i permessi di Accessibilità e amministratore.
- Non cambiare password bancarie o dell'exchange dal telefono sospetto: usa sempre un dispositivo diverso.
- Non copiare né incollare indirizzi wallet dal telefono infetto, nemmeno per verificarli.
- Non fidarti di un'app solo perché mostra il logo o il nome di Google: verifica sempre la fonte di provenienza.
- Non reinstallare automaticamente app o file da fonti sconosciute dopo un ripristino: passa dal Play Store o dal sito ufficiale verificato del produttore.
- Non pubblicare online screenshot con dati bancari o personali, nemmeno per chiedere aiuto in un forum.
- Non dare per scontato che un antivirus cancelli automaticamente ogni conseguenza dell'infezione: la pulizia richiede comunque i passaggi manuali descritti sopra.
Cosa significa per un lettore italiano
Il report di Zimperium non specifica quali Paesi siano stati colpiti in modo prevalente, né pubblica un elenco dettagliato delle 217 app target: di conseguenza, eventuali affermazioni sul coinvolgimento di una banca o di un exchange italiano specifico devono essere accompagnate da una fonte verificabile, non da supposizioni.
Quello che vale comunque per un lettore italiano è il principio generale: se usi app bancarie, Poste o exchange crypto sul tuo smartphone Android, e hai installato di recente un'app da un sito esterno al Play Store, i controlli descritti in questa guida vanno fatti a prescindere dalla conferma di un caso italiano specifico. In caso di operazioni sospette, il primo contatto resta sempre la tua banca o Poste Italiane tramite i canali ufficiali (mai numeri trovati via SMS o email), seguito dall'exchange se hai wallet custodial coinvolti. Se la SIM perde improvvisamente il segnale senza una causa evidente, contatta l'operatore tramite un altro telefono: potrebbe trattarsi di un semplice problema tecnico, ma in presenza di accessi anomali agli account è opportuno escludere anche un possibile SIM swap come controllo prudenziale — non è una capacità specifica documentata per Rokarolla, ma una verifica generale che vale in ogni caso di sospetta compromissione.
- Zimperium zLabs — report tecnico completo su Rokarolla
- BleepingComputer — copertura indipendente, incluso il commento ufficiale di Google
- Google Play Help — guida ufficiale sul funzionamento di Play Protect
Domande frequenti
Autore: Rocco Caiazza – Fondatore di ScelgoIo