Publié le 26 juin 2026 à 00h00 par La rédaction

Rokarolla : un malware Android ultra-sophistiqué capable de prendre le contrôle total des smartphones et de viser plus de 200 applications bancaires et crypto

Une nouvelle menace mobile d’une ampleur inquiétante vient d’être mise au jour par les chercheurs de zLabs, l’équipe de recherche de Zimperium. Baptisé Rokarolla, ce cheval de Troie bancaire conçu pour Android se distingue par un niveau de sophistication particulièrement élevé et par sa capacité à cibler massivement les utilisateurs de services financiers et de cryptomonnaies.

Selon les analyses publiées par les chercheurs, ce malware a été pensé pour compromettre directement les comptes bancaires et portefeuilles numériques des victimes. Son objectif est clair : obtenir un contrôle étendu de l’appareil infecté afin de permettre des opérations frauduleuses discrètes, rapides et difficiles à détecter.

Une diffusion via de faux sites imitant des applications populaires

Rokarolla se propage principalement par le biais de sites web frauduleux qui imitent des services bien connus, notamment TikTok ou encore Google Chrome. Ces pages trompeuses incitent les utilisateurs à télécharger de fausses applications en dehors des boutiques officielles.

Cette stratégie repose largement sur l’ingénierie sociale. En se faisant passer pour des logiciels légitimes, les cybercriminels exploitent la confiance des utilisateurs pour contourner les mécanismes de sécurité classiques des systèmes Android.

Une fois installé sur le smartphone, le malware déclenche une série de mécanismes lui permettant d’élever ses privilèges. Il exploite notamment les services d’accessibilité Android, un vecteur de plus en plus utilisé par les menaces mobiles avancées pour obtenir des droits étendus sur le système.

Un arsenal de 137 commandes pour un contrôle quasi total

Les chercheurs de zLabs ont identifié un ensemble impressionnant de 137 commandes intégrées à Rokarolla. Ce vaste arsenal lui permet de prendre le contrôle quasi complet de l’appareil compromis et d’orchestrer une large gamme d’actions malveillantes.

Parmi les capacités observées figurent le vol des codes PIN, des schémas de déverrouillage et des mots de passe enregistrés sur l’appareil. Le malware est également capable d’intercepter les SMS entrants, notamment les codes de double authentification (OTP) utilisés par les banques pour sécuriser les transactions.

Rokarolla va encore plus loin en intégrant des fonctions de keylogging, lui permettant de capturer les frappes clavier de l’utilisateur, ainsi que des mécanismes de capture de contenu affiché à l’écran. Ces fonctionnalités offrent aux attaquants une visibilité quasi complète sur l’activité de la victime.

Des attaques ciblées sur les applications bancaires et crypto

L’une des particularités les plus préoccupantes de Rokarolla réside dans sa capacité à cibler spécifiquement les applications financières. Les chercheurs indiquent que plus de 217 applications bancaires et de cryptomonnaies sont visées.

Le malware est capable de déployer de fausses interfaces de connexion qui s’affichent par-dessus les applications légitimes grâce à des techniques de superposition. Ces écrans frauduleux permettent de récupérer les identifiants et données sensibles des utilisateurs sans éveiller de soupçons.

En parallèle, Rokarolla peut manipuler le presse-papiers de l’appareil afin de détourner des adresses de portefeuilles de cryptomonnaies, remplaçant discrètement les coordonnées saisies par celles contrôlées par les attaquants.

Blocage des protections et persistance avancée

Les capacités du malware ne s’arrêtent pas à l’exfiltration de données. Rokarolla est également conçu pour perturber les mécanismes de sécurité et prolonger sa présence sur l’appareil infecté.

Il peut notamment désactiver Google Play Protect, le système de protection intégré à Android, et mettre en œuvre des techniques avancées de dissimulation pour éviter la détection. Les chercheurs soulignent également sa capacité à bloquer les appels entrants, empêchant ainsi d’éventuelles alertes de sécurité ou tentatives de vérification bancaire.

Le malware est également capable de collecter les contacts WhatsApp et d’autres données personnelles sensibles, élargissant ainsi le spectre des informations compromises.

Une surveillance continue et dynamique

Les analyses de zLabs montrent que Rokarolla peut maintenir un accès persistant à l’appareil infecté. Il est capable de télécharger dynamiquement de nouvelles configurations et des pages de phishing adaptées aux applications installées sur le smartphone de la victime.

Le malware met également en place un système de surveillance continue, notamment via des captures d’écran régulières. Cette approche lui permet de suivre en temps réel les actions de l’utilisateur et d’adapter ses attaques en fonction des activités détectées.

Une menace en constante évolution

Pour les chercheurs de Zimperium, Rokarolla illustre une évolution inquiétante du paysage des menaces mobiles. La combinaison de techniques d’ingénierie sociale, de contournement des protections Android et de capacités d’espionnage avancées en fait un outil particulièrement dangereux.

« Rokarolla illustre une nouvelle génération de malwares mobiles capables d’orchestrer des fraudes financières sophistiquées, tout en conservant un contrôle quasi total de l’appareil compromis. Les approches de sécurité traditionnelles basées uniquement sur les signatures ne suffisent plus à détecter ce type de menace hautement dynamique et évolutive », explique Nico Chiaraviglio, Chief Scientist chez Zimperium.

Dans un contexte où les usages bancaires et financiers sur mobile ne cessent de croître, ce type de menace confirme la montée en puissance des attaques ciblant directement les smartphones, devenus des coffres-forts numériques pour des millions d’utilisateurs.

~~~~~~~~

Guides & Comparatifs France Mobiles