Menu Close
Close

    Rokarolla: o malware Android que rouba bancos e criptos

    Rokarolla: como o novo malware Android compromete bancos e carteiras de criptomoedas

    A evolução do ecossistema de ameaças móveis continua ampliando os desafios enfrentados por organizações, instituições financeiras e usuários que dependem de smartphones para operações críticas. Entre as tendências mais preocupantes está o crescimento dos trojans bancários para Android, capazes de combinar múltiplas técnicas de fraude, espionagem e tomada de controle de dispositivos em uma única campanha maliciosa.

    Dentro desse cenário, pesquisadores do zLabs, divisão de pesquisa da Zimperium, documentaram uma nova ameaça denominada Rokarolla. O malware foi desenvolvido para atingir aplicativos bancários e carteiras de criptomoedas, empregando mecanismos avançados de sobreposição de telas, abuso de recursos de acessibilidade e captura de informações sensíveis.

    O aspecto mais preocupante não está apenas na capacidade de roubar credenciais. O Rokarolla demonstra uma abordagem arquitetônica voltada para o controle quase total do dispositivo comprometido, permitindo que operadores removam proteções, capturem códigos de autenticação, interceptem comunicações e manipulem transações financeiras.

    Com 137 comandos remotos e capacidade de atingir 217 aplicativos bancários e de criptomoedas, o Rokarolla representa mais um exemplo da profissionalização do cibercrime móvel. Compreender seu funcionamento ajuda organizações e usuários a identificar riscos, fortalecer controles e evitar compromissos que podem resultar em perdas financeiras significativas.

    O crescimento das ameaças móveis direcionadas ao setor financeiro

    Os smartphones se tornaram plataformas centrais para autenticação, pagamentos digitais, acesso bancário e gestão de ativos financeiros. Essa transformação ampliou significativamente a superfície de ataque disponível para grupos criminosos.

    Aplicativos bancários e carteiras de criptomoedas concentram informações valiosas, credenciais de acesso e mecanismos de autenticação multifator. Consequentemente, tornam-se alvos prioritários para operadores de malware especializados em fraude financeira.

    No caso do Rokarolla, os pesquisadores identificaram que o malware foi desenvolvido especificamente para explorar esse contexto. Sua infraestrutura permite atingir simultaneamente centenas de aplicativos, aumentando a escala potencial das operações criminosas.

    Mais do que roubar senhas isoladas, o objetivo é assumir o controle completo do fluxo de autenticação do usuário. Isso inclui credenciais, códigos SMS, informações de cartão, PINs de desbloqueio e até mesmo dados exibidos na tela.

    Como o Rokarolla se propaga em dispositivos Android

    Uso de aplicativos falsos como vetor inicial

    Segundo a Zimperium, a distribuição do Rokarolla ocorre por meio de sites maliciosos que se apresentam como fontes legítimas de aplicativos populares. Entre os exemplos observados estão páginas que simulam softwares conhecidos como TikTok e Google Chrome.

    Essa estratégia explora um comportamento recorrente entre usuários que realizam instalações fora dos canais oficiais de distribuição. Ao confiar em páginas aparentemente legítimas, a vítima acaba baixando um componente malicioso sem perceber.

    O modelo adotado segue uma tendência observada em diversas campanhas recentes contra Android: a utilização de aplicativos falsificados como porta de entrada para infecções mais complexas.

    O risco empresarial é particularmente elevado quando dispositivos corporativos ou utilizados em regime BYOD acessam aplicações críticas, sistemas financeiros ou plataformas de autenticação empresarial.

    O papel do dropper disfarçado de Google Play Protect

    A primeira etapa da infecção envolve a instalação de um dropper que se apresenta como Google Play Protect. A escolha desse disfarce é particularmente estratégica porque explora justamente a confiança dos usuários em mecanismos de segurança da plataforma Android.

    Ao assumir a aparência de uma ferramenta de proteção legítima, o malware reduz suspeitas durante a instalação. Isso aumenta as chances de obtenção das permissões necessárias para a próxima fase da cadeia de ataque.

    O componente inicial atua como responsável pela entrega do payload principal e pela preparação do ambiente para a execução das funcionalidades maliciosas.

    Após a instalação bem-sucedida, o Rokarolla utiliza seus próprios comandos para desativar o Play Protect, eliminando uma das camadas de defesa que poderiam detectar comportamentos suspeitos.

    O abuso da acessibilidade como fundamento da operação maliciosa

    Por que a acessibilidade se tornou um alvo frequente

    O relatório da Zimperium destaca que o Rokarolla depende fortemente dos recursos de acessibilidade do Android. Essa abordagem já foi observada em diversas campanhas recentes de malware bancário.

    Os serviços de acessibilidade foram criados para auxiliar usuários com necessidades específicas de interação. Entretanto, quando concedidos a aplicativos maliciosos, oferecem amplo acesso às ações realizadas no dispositivo.

    Essa capacidade permite monitorar aplicativos em execução, interagir com elementos da interface, capturar informações exibidas na tela e automatizar diversas ações sem o conhecimento da vítima.

    Na prática, a permissão de acessibilidade se torna o ponto de partida para praticamente toda a cadeia operacional do Rokarolla.

    Consequências da concessão indevida dessa permissão

    Uma vez obtido o acesso de acessibilidade, o malware passa a executar diversas atividades simultaneamente. Isso inclui monitoramento de aplicativos, captura de dados inseridos pelo usuário e execução de comandos remotos enviados pelos operadores.

    O impacto vai muito além da coleta de informações. O malware adquire condições para manipular a experiência do usuário e interferir diretamente em processos de autenticação e transações financeiras.

    Essa dependência da acessibilidade demonstra por que solicitações inesperadas dessa permissão devem ser tratadas como sinais de alerta críticos.

    Do ponto de vista defensivo, a conscientização dos usuários continua sendo uma das barreiras mais importantes contra esse tipo de ameaça.

    Como o Rokarolla rouba credenciais bancárias

    O mecanismo de sobreposição de telas

    O principal método de roubo empregado pelo Rokarolla utiliza sobreposições de tela. O malware mantém comunicação com seus servidores de comando e controle para obter uma lista de aplicativos-alvo.

    Quando identifica um aplicativo monitorado em execução, o trojan baixa uma página HTML falsa correspondente à instituição ou serviço atacado.

    Essa página é armazenada localmente e utilizada para criar uma interface praticamente indistinguível da original. O usuário acredita estar interagindo com seu aplicativo legítimo quando, na realidade, está inserindo informações em uma página controlada pelos criminosos.

    Esse modelo permite capturar credenciais, dados de autenticação e informações de cartão diretamente na origem, antes mesmo que cheguem ao sistema legítimo.

    Captura de dados financeiros e autenticação

    Segundo a pesquisa, uma das interfaces falsas analisadas imitava o aplicativo bancário imagin. O mesmo princípio pode ser aplicado aos demais aplicativos presentes na lista de alvos.

    Quando o usuário digita suas informações na tela fraudulenta, todos os dados são coletados pelo malware. Isso inclui credenciais de acesso e informações financeiras utilizadas para autenticação.

    A eficácia desse método decorre do fato de que o aplicativo legítimo continua existindo no dispositivo, dificultando a percepção da fraude.

    Do ponto de vista operacional, trata-se de uma técnica altamente eficiente porque combina engenharia social com manipulação técnica da interface do sistema.

    Roubo de PINs e comprometimento da tela de bloqueio

    O Rokarolla também utiliza sobreposições para simular a tela de bloqueio do Android. Essa funcionalidade amplia significativamente o alcance da ameaça.

    Ao apresentar uma tela falsa de desbloqueio, o malware consegue capturar PINs, padrões ou senhas utilizados para proteger o dispositivo.

    Essa informação oferece aos operadores uma capacidade adicional de controle. Mesmo quando o aparelho está bloqueado, o criminoso pode obter os dados necessários para superar essa camada de proteção.

    A captura das credenciais de desbloqueio representa um risco particularmente elevado porque compromete um dos mecanismos mais fundamentais de segurança do dispositivo.

    Interceptação de SMS e autenticação multifator

    Leitura e envio de mensagens

    O Rokarolla possui capacidade para ler todas as mensagens SMS presentes no dispositivo comprometido. Além disso, pode enviar mensagens em nome da vítima.

    Essa funcionalidade é especialmente relevante porque muitos bancos ainda utilizam códigos SMS de uso único para validar logins e aprovar transações.

    Ao interceptar essas mensagens, o malware obtém acesso ao segundo fator de autenticação exigido por diversas instituições financeiras.

    Na prática, isso reduz significativamente a eficácia dos mecanismos de autenticação baseados exclusivamente em SMS.

    Bloqueio de chamadas recebidas

    Outro recurso identificado pelos pesquisadores é a capacidade de se tornar o aplicativo padrão para mensagens e chamadas.

    Com isso, o malware pode bloquear chamadas recebidas. O impacto operacional dessa funcionalidade é considerável.

    Em cenários de fraude financeira, bancos frequentemente realizam ligações para confirmar atividades suspeitas ou alertar clientes sobre movimentações incomuns.

    Ao impedir que essas chamadas cheguem ao usuário, o Rokarolla reduz as chances de detecção precoce da fraude.

    Monitoramento avançado do dispositivo comprometido

    Keylogger e screen logger

    O malware incorpora mecanismos de keylogging e registro de tela. Essas funcionalidades permitem acompanhar tanto o que o usuário digita quanto o que visualiza.

    Essa combinação amplia significativamente a capacidade de coleta de informações sensíveis.

    Mesmo quando credenciais não são inseridas diretamente em formulários fraudulentos, elas podem ser capturadas por meio do monitoramento contínuo da atividade do usuário.

    Além disso, informações contextuais exibidas na tela podem fornecer dados valiosos para futuras etapas da operação criminosa.

    Coleta de contatos e notificações

    O Rokarolla também coleta contatos armazenados no dispositivo e monitora notificações recebidas.

    Esses dados podem ser utilizados para ampliar a compreensão do perfil da vítima, identificar serviços utilizados e monitorar atividades financeiras em tempo real.

    A leitura de notificações é particularmente relevante porque muitos aplicativos exibem informações relacionadas a autenticações, transações e movimentações financeiras.

    Isso oferece aos operadores uma visão detalhada das atividades realizadas pelo usuário.

    Fraudes envolvendo criptomoedas e manipulação da área de transferência

    Uma das funcionalidades mais direcionadas ao universo das criptomoedas é a manipulação da área de transferência.

    O malware substitui silenciosamente endereços de carteiras copiados pelo usuário por endereços controlados pelos atacantes.

    Esse método explora um comportamento comum durante transferências de ativos digitais, quando usuários copiam e colam endereços longos para evitar erros de digitação.

    Sem perceber a alteração, a vítima pode concluir a transação acreditando estar enviando fundos ao destinatário correto, quando na realidade os ativos são direcionados para a carteira controlada pelos criminosos.

    Capacidades de vigilância e captura de tela

    O Rokarolla adota uma abordagem diferenciada para monitoramento visual do dispositivo.

    Em vez de utilizar mecanismos tradicionais de projeção de tela que exibem avisos visíveis ao usuário, o malware realiza capturas utilizando recursos de acessibilidade.

    As imagens são comprimidas em formato PNG e enviadas individualmente aos operadores.

    Segundo a Zimperium, essa técnica é mais discreta e simples do que abordagens observadas em outras famílias de malware, reduzindo as chances de despertar suspeitas durante a operação.

    Infraestrutura resiliente e controle remoto avançado

    Outro aspecto relevante do Rokarolla é sua arquitetura de comando e controle. O malware utiliza múltiplos domínios C2 de contingência e pode receber novos domínios dinamicamente.

    Essa característica dificulta estratégias defensivas baseadas exclusivamente na derrubada de servidores específicos.

    Mesmo que um ponto da infraestrutura seja interrompido, os operadores podem manter a comunicação utilizando canais alternativos.

    O relatório destaca ainda que o malware possui 137 comandos remotos, superando os 107 comandos observados anteriormente no trojan HOOK citado pela Zimperium.

    Boas práticas de proteção contra o Rokarolla

    De acordo com os pesquisadores, não existe uma correção específica para o Rokarolla porque não se trata de uma vulnerabilidade de produto, mas sim de uma família de malware.

    As medidas defensivas concentram-se na redução da superfície de ataque e na prevenção da infecção inicial.

    Entre as recomendações destacadas estão a instalação de aplicativos exclusivamente pela Google Play Store e a manutenção do Google Play Protect ativo.

    Além disso, solicitações inesperadas de permissões de acessibilidade devem ser tratadas com extrema cautela, pois representam o elemento central utilizado para iniciar toda a cadeia de comprometimento observada no Rokarolla.

    Conclusão

    O Rokarolla demonstra como os trojans bancários para Android continuam evoluindo em sofisticação, integração de recursos e capacidade operacional. Em vez de depender de uma única técnica de ataque, a ameaça combina sobreposições fraudulentas, abuso de acessibilidade, interceptação de SMS, captura de PINs, monitoramento de tela e manipulação de transações de criptomoedas.

    O relatório da Zimperium evidencia uma estratégia focada em contornar precisamente os mecanismos de proteção nos quais os usuários normalmente confiam, incluindo o Google Play Protect e a própria tela de bloqueio do dispositivo.

    Para organizações e usuários, a principal lição é que a segurança móvel exige atenção contínua às permissões concedidas, às origens dos aplicativos instalados e aos sinais de comportamento anormal. Em um cenário onde ameaças como o Rokarolla podem assumir controle quase total de um smartphone, práticas básicas de higiene digital continuam sendo uma das defesas mais importantes disponíveis.

    Tags:

    You May Also Like

    Artigos

    Confidential AI: Protegendo Dados em Uso com Segurança

    fevereiro 24, 2026
    Artigos

    Ataque à OpenAI expõe riscos críticos em supply chain

    maio 15, 2026