Uusi Rokarolla-haittaohjelma kaappaa Android-puhelimen – naamioituu TikTokiksi ja Play Protectiksi, vie PIN-koodit ja kertakäyttösalasanat
Uusi pankkitroijalainen tekeytyy juuri siksi työkaluksi, jonka pitäisi suojata sinua. Se esiintyy Googlen Play Protectina ja huijaa käyttäjän asentamaan itse haittaohjelman.
Tiivistelma
Zimperiumin tutkijat dokumentoivat Rokarolla-nimisen Android-pankkitroijalaisen, joka leviää TikTokiksi ja Chromeksi naamioituvilla sivustoilla. Sen koko juju on esiintyä Play Protectina, jotta käyttäjä asentaa haitan ja antaa sille esteettömyysoikeudet. Yksi lupa riittää laitteen kaappaamiseen.
Mitä jos haittaohjelma esittäisi olevansa juuri se turvatyökalu, jonka pitäisi pysäyttää se? Tasan näin uusi Android-troijalainen toimii. Se naamioituu Googlen Play Protectiksi ja saa käyttäjän asentamaan vihollisen omin käsin.
Tietoturvayhtiö Zimperiumin tutkimusyksikkö zLabs dokumentoi haittaohjelman tänään. Tutkijat Vishnu Pratapagiri ja Fernando Ortega, zLabsin haittaohjelma-analyytikot, antoivat sille nimen Rokarolla.
Tartunta ei tule Google Play -kaupasta. Se leviää huijaussivustoilla, jotka esiintyvät suosittuina sovelluksina kuten TikTokina ja Google Chromena. Sivu tarjoaa asennuspaketin, eli APK-tiedoston, jota Android ei asenna ilman erikseen myönnettyä lupaa. Tätä kutsutaan sivulataukseksi.
Juuri siinä piilee koko huijauksen ydin.
Kaksivaiheinen pudottaja Play Protectin nimissä
Rokarolla käyttää kaksivaiheista pudottajaa eli droppperia. Ensimmäinen vaihe ei vielä ole varsinainen pankkitroijalainen vaan houkutin, joka esittää olevansa Google Play Protect.
Käyttäjälle näytetään ruutu, joka näyttää aidolta turvatarkistukselta. Se pyytää asentamaan päivityksen ja myöntämään esteettömyysoikeudet eli Accessibility-luvan. Kun käyttäjä uskoo suojaavansa puhelintaan, hän tosiasiassa avaa sen.
Esteettömyysoikeudet on alun perin tarkoitettu apuvälineeksi näkö- ja liikuntarajoitteisille. Niiden avulla sovellus voi lukea ruudun sisältöä ja toimia käyttäjän puolesta. Pankkitroijalaiselle se on avain kaikkeen.
– Yksi ainoa esteettömyysluvan myöntäminen riittää luovuttamaan koko laitteen hyökkääjälle, kuvaavat zLabsin tutkijat raportissaan.
Mihin Rokarolla pystyy
Luvan saatuaan haittaohjelma ottaa laitteen haltuunsa. Zimperiumin mukaan Rokarolla kantaa mukanaan 137 etäkomentoa, kun aiemmin tunnetussa HOOK-troijalaisessa niitä oli 107. Kohteena on 217 pankki- ja kryptovaluuttasovellusta.
Keinovalikoima on laaja. Rokarolla piirtää ruudun päälle valeikkunoita, niin sanottuja overlay-hyökkäyksiä – esimerkiksi väärennetyn lukitusnäytön, joka nappaa PIN-koodin tai kuvion, tai aidolta näyttävän pankin kirjautumissivun.
Se lukee ja lähettää tekstiviestejä, jolloin kaksivaiheisen tunnistautumisen kertakäyttökoodit päätyvät rikollisille.
Se tallentaa näppäilyt ja kuvaa ruutua. Se myös vaihtaa leikepöydälle kopioidun kryptolompakon osoitteen toiseen, jolloin maksu ohjautuu hyökkääjän lompakkoon. Lisäksi se kerää yhteystiedot, lukee ilmoituksia ja kykenee kytkemään Play Protectin pois päältä.
Mistä tällaisen torjunta sitten alkaa? Kahdesta asiasta. Sovellukset vain virallisista kaupoista, eikä esteettömyyslupaa kenellekään, joka ei sitä selvästi tarvitse.
Uhkaako tämä suomalaista pankkikäyttäjää
Tässä on syytä olla tarkka. Zimperium ei nimeä yhtäkään pankkia eikä maata, joihin Rokarolla kohdistuisi. Ainoa maantieteellinen vihje on yksi italialainen .it-päätteinen komentopalvelimen osoite.
Suomalaisia pankkeja ei siis ole raportoitu kohteiksi. Mobiilipankkia käyttävän kannattaa silti tuntea pelikirja, sillä se toistuu.
Vuoden 2026 aikana useat Android-pankkitroijalaiset ovat käyttäneet samaa kaavaa: valesovelluksina leviävät pudottajat, esteettömyysoikeuksien väärinkäyttö ja HTML-valeikkunat. TrickMo-variantti iski Ranskaan, Italiaan ja Itävaltaan. OverlayPhantomin yli 180 kohdesovelluksen listalla on raporttien mukaan myös Suomi. Nämä ovat eri haittaohjelmia kuin Rokarolla, mutta menetelmä on yhteinen.
Tunnistusmerkit
- Sivusto tai viesti pyytää asentamaan sovelluksen kaupan ulkopuolelta, eli lataamaan APK-tiedoston suoraan.
- Mukana on kehotus asentaa "Play Protect" tai päivittää pankkisovellus linkin kautta. Play Protect ei koskaan asennu erillisestä linkistä.
- Sovellus pyytää esteettömyysoikeuksia ilman selvää syytä.
- Lupapyyntöjä tulee poikkeuksellisen paljon: tekstiviestit, ilmoitukset, ruudun päälle piirtäminen.
Mitä tehdä
- Asenna pankki- ja kryptosovellukset vain Google Play -kaupasta tai muista virallisista lähteistä.
- Älä luota mihinkään "päivitä pankkisovellus" tai "asenna Play Protect" -linkkiin. Pudottaja teeskentelee olevansa Play Protect itse.
- Älä koskaan myönnä esteettömyyslupaa sovellukselle, jolla ei ole sille perusteltua tarvetta. Tämä yksi lupa luovuttaa koko laitteen.
- Pidä Google Play Protect päällä ja varmista sen tila Play Storesta, älä erillisestä ikkunasta.
- Tarkista kryptolompakon osoite vielä kerran liittämisen jälkeen, ennen kuin vahvistat maksun.
Jos epäilet asentaneesi haittaohjelman, irrota laite verkosta, ota yhteys pankkiisi ja tee rikosilmoitus poliisi.fi-palvelussa. Kalasteluyrityksistä voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Rokarolla on tuore löydös, ja sen leviämisen laajuus jää toistaiseksi nähtäväksi. Varma on vain se, että huijaus, joka pukeutuu turvatyökaluksi, kestää niin kauan kuin yksikin käyttäjä klikkaa väärennettyä Play Protectia.