Rokarolla-Trojaner: 217 Banking-Apps im Visier, 137 Befehle
25.06.2026 - 17:58:13 | boerse-global.de
Ein bislang unbekannter Banking-Trojaner namens Rokarolla hat es auf 217 verschiedene Krypto- und Banking-Apps abgesehen. Die Sicherheitsfirma Zimperium zLabs warnt vor einer massiven Bedrohung für Android-Nutzer weltweit – auch in Deutschland.
Die Schadsoftware ist mit 137 verschiedenen Fernsteuerungsbefehlen ausgestattet, die den Angreifern eine vollständige Kontrolle über infizierte Geräte ermöglichen. Das Ziel: Finanzdaten stehlen und Konten plündern.
So gelangt der Trojaner aufs Handy
Rokarolla wird vor allem über gefälschte Websites verbreitet, die täuschend echt aussehen – etwa als TikTok oder Google Chrome getarnt. Die Opfer landen auf diesen Seiten meist über Links in sozialen Netzwerken oder dubiosen Drittanbieter-App-Stores.
Der eigentliche Infektionsprozess ist hinterhältig: Ein sogenannter Dropper lädt die Malware herunter, tarnt sich dabei aber als Google Play Protect – genau jener Dienst, der eigentlich vor solchen Bedrohungen schützen soll.
Besonders perfide: Rokarolla missbraucht die Android-Barrierefreiheitsdienste (Accessibility Services). Gewährt der Nutzer diese Berechtigungen, übernimmt der Trojaner weitgehend die Kontrolle über das Betriebssystem. Er zeichnet dann Bildschirminhalte auf, protokolliert Tastatureingaben und fängt vertrauliche Kommunikation ab – alles unbemerkt.
Volle Kontrolle über das Gerät
Die Sicherheitsexperten haben ein erschreckend umfangreiches Arsenal an Funktionen identifiziert. Um an Zugangsdaten zu gelangen, legt Rokarolla unsichtbare Overlays über echte Banking- und Krypto-Apps. Der Nutzer tippt seine Daten ahnungslos ein – und übergibt sie direkt den Angreifern.
Der Rokarolla-Trojaner bedroht aktuell 217 Banking-Apps – und tarnt sich als Google Play Protect. Erfahren Sie in unserem Report, wie Sie gefälschte Apps erkennen und Ihr Android-Gerät schützen. Jetzt kostenlosen Sicherheits-Report anfordern
Auch die Geräte-PINs und Entsperrmuster sind nicht sicher: Gefälschte Sperrbildschirme sammeln diese Daten, sobald das Opfer sein Handy entsperren möchte.
Die Malware ist zudem speziell darauf ausgelegt, Zwei-Faktor-Authentifizierung zu umgehen. Dazu gehören:
- SMS-Abfangen: Einmalpasswörter (OTPs) werden abgefangen, bevor der Nutzer sie sieht
- Anrufblockierung: Betrugswarnungen der Bank erreichen das Opfer gar nicht erst
- Deaktivierung von Sicherheitsdiensten: Der echte Google Play Protect wird ausgeschaltet
Weitere Bedrohungen im Android-Universum
Die Entdeckung von Rokarolla ist kein Einzelfall. Erst am 24. Juni warnte das Sicherheitsunternehmen Zscaler ThreatLabz vor dem Banking-Trojaner Anatsa (auch bekannt als TeaBot). Die Schadsoftware tarnte sich als Dokumentenleser und wurde über 100.000 Mal aus dem Google Play Store heruntergeladen – mit Zielen bei mehr als 800 Finanzinstituten.
Zwei-Faktor-Authentifizierung wird von Rokarolla umgangen – SMS und Anrufe werden abgefangen. Unser Report zeigt, wie Sie sich trotzdem schützen können. Schutz vor Trojanern jetzt sichern
Die Strafverfolgungsbehörden schlagen jedoch zurück. Am 25. Juni verkündete Europol die Ergebnisse der „Operation Endgame“. In einer großangelegten Aktion mit Microsoft, Proofpoint und IBM wurden 326 Server und 142 Domains neutralisiert, die mit Malware wie StealC und Amadey in Verbindung standen. Die Ermittler stellten 27 Millionen gestohlene Zugangsdaten sicher und beschlagnahmten Kryptowährungen im Wert von rund 41 Millionen Euro.
In einer separaten Aktion am selben Tag nahm die Cyber Crime Cell im indischen Ahmedabad den mutmaßlichen Kopf eines Syndikats fest, das mit gefälschten APKs Banken und Versorgungsunternehmen imitierte, um an Kontodaten zu gelangen.
