Un cheval de Troie bancaire d’un nouveau genre, baptisé Rokarolla, sévit actuellement sur Android. Selon Futura Sciences, il se propage en se faisant passer pour Google Play Protect, l’antivirus intégré au système, avant de cibler les identifiants de 217 applications bancaires et de cryptomonnaies.

Ce qu'il faut retenir

  • Rokarolla est un maliciel qui imite Google Play Protect pour s’installer sur les smartphones Android.
  • Il cible 217 applications bancaires et de cryptomonnaies, dont les identifiants sont récupérés via des fausses pages de connexion.
  • Le virus se diffuse uniquement en dehors du Play Store, via des sites web piégés proposant des APK frauduleux.
  • Une fois installé, il peut lire l’écran, appuyer sur les boutons et désactiver Play Protect en demandant l’accès aux services d’accessibilité.
  • Il utilise la technique de la superposition pour intercepter les données saisies dans les applications bancaires.
  • Les chercheurs de Zimperium ont recensé 137 commandes permettant à Rokarolla de contrôler le téléphone à distance.

Un virus qui se cache derrière des applications populaires

Rokarolla ne se manifeste pas sur le Play Store, où il aurait été repéré et supprimé. Comme le rapporte Futura Sciences, il se propage via des sites web imitant des applications connues comme TikTok ou Chrome. Une fois le faux APK téléchargé, il prend l’apparence de Google Play Protect, l’antivirus officiel d’Android, pour tromper l’utilisateur.

Ce « dropper », un programme chargé d’en installer un autre, demande ensuite l’accès aux services d’accessibilité. Une permission dangereuse, car elle permet à Rokarolla de simuler des actions sur l’écran, lire les SMS et intercepter les codes de validation bancaire. Une fois ces droits accordés, le maliciel peut même désactiver Google Play Protect en une seule commande, se rendant ainsi invisible aux yeux de l’utilisateur.

Des techniques de piratage sophistiquées et discrètes

Une fois installé, Rokarolla déploie une méthode bien rodée : la superposition. Lorsqu’une victime ouvre une application bancaire légitime, une fausse page de connexion s’affiche par-dessus, capturant ainsi les identifiants et les numéros de carte bancaire. Les pirates récupèrent ensuite ces données via leur serveur. Le virus va encore plus loin : il peut aussi capturer le code de déverrouillage du téléphone et photographier l’écran image par image, évitant ainsi de déclencher des alertes antivirus.

Autre fonctionnalité redoutable : Rokarolla lit les SMS pour intercepter les codes de validation bancaire à usage unique (OTP). Il réécrit également le presse-papiers afin de rediriger les transactions en cryptomonnaie vers des adresses contrôlées par les pirates. Avec 137 commandes à distance, ce cheval de Troie dispose d’un arsenal bien plus large que ses prédécesseurs, comme HOOK, qui en comptait 107.

Une menace qui s’inscrit dans une vague de maliciels bancaires

Rokarolla rejoint une longue liste de programmes malveillants ciblant les applications financières sur Android. Selon Futura Sciences, des virus comme DroidBot ou Crocodilus ont déjà fait parler d’eux ces derniers mois. Les chercheurs de Zimperium, qui ont analysé Rokarolla, n’ont cependant pas été en mesure de chiffrer le nombre de victimes pour l’instant. Aucune faille d’Android n’est exploitée ici : il s’agit d’un logiciel malveillant classique, qui mise sur la tromperie et les permissions abusives pour opérer.

« Avec 137 commandes, Rokarolla est l’un des chevaux de Troie bancaires les plus complets que nous ayons vus ces dernières années. »
Chercheurs de Zimperium, dans leur rapport publié le 16 juin 2026.

Comment se protéger contre Rokarolla ?

La lutte contre ce type de menace repose avant tout sur des gestes simples mais essentiels. Selon Futura Sciences, il est impératif de n’installer des applications que depuis le Play Store officiel. Les fichiers APK téléchargés depuis des sites tiers doivent être considérés comme suspects, même s’ils prétendent provenir d’applications populaires.

Autre précaution : ne jamais accorder l’accès aux services d’accessibilité à une application qui n’en a pas besoin, comme une messagerie ou un jeu. Enfin, il est conseillé de garder Google Play Protect activé et de surveiller toute application tentant de le désactiver. Ces mesures, bien que basiques, restent les plus efficaces contre les maliciels comme Rokarolla.

Et maintenant ?

Les experts en cybersécurité s’attendent à ce que les pirates derrière Rokarolla affinent encore leurs techniques dans les prochains mois. D’autres variantes de ce type de virus pourraient émerger, exploitant des failles similaires ou encore plus sophistiquées. Pour l’instant, aucune mise à jour d’Android ne permet de bloquer spécifiquement ce maliciel, ce qui souligne l’importance de la vigilance individuelle. Les prochaines analyses de Zimperium et d’autres acteurs du secteur devraient permettre de mieux cerner l’ampleur de cette menace.

Cette affaire rappelle, une fois encore, l’importance de la sécurité numérique dans un monde où les transactions financières se dématérialisent. Les utilisateurs doivent rester attentifs, non seulement aux applications qu’ils installent, mais aussi aux permissions qu’ils accordent. Car dans le domaine de la cybersécurité, la première ligne de défense reste l’utilisateur lui-même.

Les signes peuvent inclure des comportements anormaux de votre appareil, comme des redirections vers des pages de connexion inconnues, des SMS ou notifications suspectes, ou encore une consommation inhabituelle de la batterie. Si vous constatez l’un de ces symptômes, désinstallez immédiatement les applications récentes ou suspectes et lancez une analyse avec un antivirus fiable.

Oui, la plupart des antivirus mobiles (comme Bitdefender, Kaspersky ou Malwarebytes) devraient détecter et supprimer Rokarolla. Cependant, la réinitialisation complète du téléphone reste la méthode la plus sûre pour éliminer toute trace du maliciel, surtout si vous suspectez une infection avancée.