Ovládne telefon, zablokuje hovory a vybere vám účet. Trojský kůň se tváří jako TikTok nebo Chrome
Nový bankovní trojan Rokarolla disponuje 137 příkazy pro vzdálené ovládání Androidu, od čtení SMS přes blokování hovorů až po krádež peněz z účtu.
Obsah článku
Bezpečnostní firma Zimperium zLabs zveřejnila 16. června 2026 analýzu malwaru, který po instalaci získá nad telefonem téměř administrátorskou kontrolu. Rokarolla se šíří přes podvodné weby, kde se vydává za aplikace TikTok nebo Google Chrome, tedy za značky, které uživatel okamžitě pozná a méně zpochybní. Jakmile oběť škodlivý soubor nainstaluje mimo oficiální obchod, trojský kůň si postupně vyžádá oprávnění ke čtení SMS, notifikací, hovorů i k zobrazování překryvných oken. Pak začne pracovat proti svému hostiteli: porovná nainstalované bankovní a kryptoměnové aplikace se seznamem 217 cílů, stáhne k nim falešné přihlašovací formuláře a při dalším otevření legitimní aplikace podstrčí podvržené přihlašovací okno. Výsledkem není jen ukradené heslo – útočník získá i SMS kódy, PIN k odemčení telefonu a možnost umlčet jakákoli varování z banky.
Jak přesně Rokarolla přebírá telefon
Pojem „ovládne telefon“ v tomto případě není vůbec nadsázka. Veřejně dostupný repozitář příkazů na GitHubu ukazuje 137 různých instrukcí, které může operátor malwaru zařízení poslat. Mezi nimi jsou:
- čtení a odesílání SMS zpráv
- zaznamenávání stisků kláves (keylogger)
- pořizování snímků obrazovky
- práce se schránkou (clipboard)
- skrytí vlastní ikony z nabídky aplikací
- ztlumení zvuku a vibrací
- udržování displeje v aktivním stavu
Prakticky to znamená, že útočník vidí vše, co oběť na telefonu dělá, a zároveň dokáže skrýt stopy vlastní aktivity. Telefon se chová normálně, jen už nepatří svému majiteli.
Blokování hovorů: proč se vám banka nedovolá
Rokarolla si podle analýzy Zimperium zLabs vyžádá roli výchozí aplikace pro SMS a službu pro screening hovorů. Na Androidu to znamená, že aplikace získá pravomoc filtrovat příchozí hovory ještě předtím, než telefon vůbec zazvoní. Konkrétní příkazy disable_calls, calls_block a enable_calls dávají operátorovi možnost selektivně umlčet volání z banky nebo z čísel, která by mohla oběť varovat.
Důsledek je prostý: banka detekuje podezřelou transakci, zavolá klientovi, ale hovor se nikdy neprojeví. Notifikace z bankovní aplikace? Skrytá. SMS s varovným kódem? Přečtená a smazaná dříve, než ji uživatel uvidí.
Od falešného přihlášení k prázdnému účtu
Samotná krádež peněz probíhá v několika krocích. Malware nejprve zjistí, jaké finanční aplikace jsou v telefonu nainstalované, a porovná je se svým seznamem 217 cílových aplikací. Pokud najde shodu, stáhne ze vzdáleného serveru odpovídající HTML overlay, tedy falešnou přihlašovací obrazovku, která vypadá identicky jako skutečná aplikace.
Při dalším spuštění bankovní aplikace se overlay zobrazí nad ní. Oběť zadá přihlašovací údaje do podvrženého formuláře, aniž si čehokoli všimne. Mezitím Rokarolla odchytí i PIN nebo gesto k odemčení telefonu a přečte potvrzovací SMS kód. Banka na své straně vidí legitimní relaci z legitimního zařízení klienta, takže tradiční protifraudové systémy nemusejí nic zachytit.
Důležitá poznámka: ve veřejně dostupných materiálech se nepodařilo potvrdit, že mezi 217 cíli figurují konkrétní české bankovní aplikace. Ukázkový snímek overlaye zobrazuje španělskou banku Imagin. To ovšem neznamená, že české banky ohroženy nejsou – seznam cílů nebyl kompletně zveřejněn.
Proč zrovna TikTok a Chrome a jak se bránit
Útočníci nesázejí na obskurní značky. TikTok a Chrome patří mezi nejrozpoznatelnější aplikace na světě. Když uživatel na podvodném webu uvidí známou ikonu a výzvu k aktualizaci, pravděpodobnost, že soubor stáhne a povolí instalaci z neznámého zdroje, dramaticky roste. Nejde přitom o skutečné aplikace z Google Play – celá nákaza stojí na sideloadingu mimo oficiální obchod.
Jak riziko minimalizovat:
- Instalovat aplikace výhradně z Google Play.
- Nikdy nepovolovat oprávnění Accessibility, SMS ani oprávnění k hovorům aplikaci, která je ke své funkci zjevně nepotřebuje.
- Nechat zapnutý Google Play Protect, který skenuje i aplikace z jiných zdrojů.
- Pokud banka nabízí potvrzování transakcí prostřednictvím vlastní bezpečnostní aplikace (například KB Klíč u Komerční banky), upřednostnit ji před SMS kódy.
Google 18. června 2026 prostřednictvím serveru BleepingComputer sdělil, že známé verze Rokarolly už Play Protect automaticky blokuje. To je dobrá zpráva, ale pouze pro ty, kteří ochranu nevypnuli a neodsouhlasili instalaci navzdory varování.
Co dělat při podezření na infekci
Příznaky mohou být nenápadné: telefon zůstává rozsvícený, zvuk se sám ztišuje, v nabídce aplikací chybí ikona nedávno nainstalované aplikace nebo se objevují neočekávané přihlašovací obrazovky. Pokud máte podezření, okamžitě přestaňte z napadeného zařízení přistupovat k bankovním službám. Na jiném, důvěryhodném zařízení změňte hesla a kontaktujte svou banku. Na telefonu zkontrolujte Play Protect, odinstalujte podezřelé aplikace a v krajním případě proveďte tovární nastavení, které však smaže veškerá data.
Rokarolla není jen další virus v mobilu. Je to nástroj, který útočníkovi umožňuje obejít zabezpečení banky nikoli na serveru, ale přímo v ruce oběti. Právě proto si zaslouží pozornost i těch, kteří si myslí, že jim se to stát nemůže.