Rokarolla naamioituu TikTokiksi ja Chromeksi – Android-haittaohjelma tyhjentää pankkitilin
Haittaohjelma piiloutuu tuttujen sovellusten kopioihin ja esittää asentuessaan Googlen omaa suojausnäkymää. Sitä kautta se saa puhelimen hallintaansa ja vie pankkitunnukset, vaikka kaksivaiheinen tunnistautuminen olisi käytössä.
Tiivistelma
Rokarolla on uusi Android-pankkitroijalainen, joka leviää TikTokin, Chromen ja Netflixin valekopioina sivuilta Play Storen ulkopuolelta. Se peittää aidon pankkisovelluksen valekirjautumissivulla, sieppaa tekstiviestillä tulevat kertakoodit ja osaa hyökätä 217 pankki- ja kryptosovellusta vastaan. Suomalaisia uhreja ei ole vahvistettu, mutta sama riski koskee jokaista Android-puhelinta.
Lataat puhelimeesi TikTokin, ja näytölle pomppaa Google Play Protectin tutunnäköinen suojausilmoitus. Juuri siinä hetkessä huijaus onnistuu. Valesovellus ei suojaa mitään. Se asentaa taustalla varsinaisen haittaohjelman ja saa puhelimen täysin hallintaansa.
Kyseessä on Rokarolla, uusi Android-pankkitroijalainen, jonka tietoturvayhtiö Zimperiumin tutkijat löysivät ja jonka Malwarebytes kuvasi kuluttajien näkökulmasta kesäkuussa 2026. Suomessa siitä kertoi ensimmäisenä mobiili.fi 24. kesäkuuta. Vahvistettuja suomalaisuhreja ei toistaiseksi ole, eikä yhtään kotimaista pankkia ole nimetty.
Rokarolla ei leviä Google Playn kautta. Se tulee rikollisten pystyttämiltä valesivuilta, jotka tyrkyttävät kävijöille väärennettyjä versioita TikTokista, Google Chromesta ja Netflixistä. Asennus tapahtuu sivulatauksena eli sideloadingina, Play Storen ohi.
Juuri tämä reitti tekee Play Protect -kikasta niin kavalan. Kun käyttäjä asentaa sovelluksen virallisen kaupan ulkopuolelta, Android näyttää oikeasti varoituksia. Rokarolla matkii niitä ja kääntää epäilyksen edukseen.
Google Play Protect
Play Protect on Androidiin sisäänrakennettu suojaus, joka tarkistaa sovellukset automaattisesti. Sitä ei koskaan tarvitse asentaa erikseen eikä "aktivoida" latauksen yhteydessä. Jos jokin sovellus pyytää asentamaan Play Protectin, kyseessä on huijaus.
Yksi sovellus, 217 kohdetta
Asennuksen jälkeen Rokarolla pyytää käyttöä Androidin esteettömyystoiminnoille. Niiden avulla se lukee lähes kaiken, mitä ruudulla tapahtuu, kuten WhatsApp-viestit, yhteystiedot ja muiden sovellusten sisällön.
Varsinainen rahankeruu tapahtuu peittohyökkäyksellä. Kun uhri avaa pankki- tai kryptosovelluksensa, Rokarolla asettaa sen päälle valekirjautumissivun. Käyttäjä syöttää tunnukset, korttinumerot, PIN-koodit ja lukitusnäytön kuvion luullen täyttävänsä aidon lomakkeen.
Malwarebytes kertoo haittaohjelman pystyvän hyökkäämään 217:ää eri pankki- ja kryptovaluuttasovellusta vastaan. Sen takana toimivilla rikollisilla on käytössään 137 erillistä komentoa, joilla puhelinta ohjataan etänä.
– Rokarolla ei tyydy yhteen temppuun, vaan se yhdistää tunnusten varastamisen, viestien sieppaamisen ja kryptolompakon kaappaamisen samaan pakettiin, Malwarebytesin tutkijat kuvaavat.
Miksei kaksivaiheinen tunnistautuminen riitä?
Moni luottaa siihen, että pankin lähettämä kertakoodi pysäyttää huijarin. Rokarollan kohdalla näin ei ole.
Haittaohjelma ottaa puhelimen tekstiviestit ja puhelut hallintaansa. Se sieppaa kaksivaiheisen tunnistautumisen kertakoodit suoraan ja estää pankin turvavaroitukset näkymästä. Koodi päätyy rikolliselle ennen kuin uhri ehtii reagoida.
Kryptovaluutan käyttäjille on oma ansansa. Rokarollaan kuuluu leikepöytää vakoileva osa, joka vaihtaa kopioidun lompakko-osoitteen huomaamatta hyökkääjän osoitteeseen. Maksu lähtee väärään paikkaan, vaikka osoite näyttäisi liimaushetkellä oikealta.
Lopuksi haittaohjelma siivoaa jälkensä. Se kytkee Play Protectin pois päältä, piilottaa oman kuvakkeensa ja vaimentaa puhelimen äänet, jotta uhri ei huomaisi mitään.
Tunnistusmerkit
- Sovellus pyytää sinua asentamaan tai "ottamaan käyttöön" Play Protectin. Aito Play Protect on jo valmiina puhelimessa.
- Linkistä tai verkkosivulta ladattu sovellus pyytää oikeuksia esteettömyystoimintoihin, tekstiviesteihin tai puheluihin.
- Pankkisovelluksen kirjautumissivu näyttää avaamisen jälkeen hieman oudolta tai erilaiselta kuin ennen.
Mitä tehdä
Paras suoja on yksinkertainen. Asenna vain sovelluksia, jotka löytyvät Google Play -kaupasta, ja asenna ne suoraan Play Storesta – älä koskaan linkistä. Pidä Play Protect päällä äläkä ikinä "asenna" sitä erikseen.
Älä myöskään myönnä esteettömyys-, viesti- tai puheluoikeuksia sovellukselle, joka tuli linkin kautta. Useimmat tavalliset sovellukset eivät niitä tarvitse.
Jos epäilet puhelimen saastuneen, toimi heti. Käynnistä laite vikasietotilaan, peru sovelluksen esteettömyys- ja järjestelmänvalvojaoikeudet ja poista se.
Koska kertakoodit ovat hyökkääjän käsissä, vaihda pankkitunnukset ja kaksivaiheinen tunnistautuminen toiselta, puhtaalta laitteelta. Varmin keino on palauttaa puhelin tehdasasetuksiin.
Tee ilmoitus Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Jos rahaa on ehtinyt liikkua, tee rikosilmoitus poliisi.fi-palvelussa.
Suomessa ei ole tätä artikkelia kirjoitettaessa vahvistettu yhtään Rokarolla-uhria, eikä Kyberturvallisuuskeskus ole antanut asiasta lausuntoa. Olennaista on silti se, että suomalaisissa puhelimissa pyörivät ihan samat sovellukset ja niitä koskee sama sivulatauksen riski.