Pesquisadores de segurança da zLabs, da Zimperium, documentaram um novo trojan bancário para Android chamado Rokarolla.
O malware mira 217 aplicativos bancários e de criptomoedas e traz 137 comandos remotos.
Na prática, esse conjunto dá ao operador quase controle total sobre um celular infectado.
O trojan consegue remover PINs da tela de bloqueio, ler e enviar SMS, alterar a área de transferência para desviar pagamentos em criptomoedas e desativar o Google Play Protect.
O Rokarolla recebeu esse nome em referência aos seus servidores de comando e controle.
A propagação acontece por meio de sites maliciosos que se passam por aplicativos conhecidos, como TikTok e Chrome.
O primeiro arquivo instalado pela vítima é um dropper que finge ser o Google Play Protect.
Usando essa fachada, ele consegue instalar o payload e obter acesso à Acessibilidade.
Depois que o malware entra em operação, um de seus comandos desativa o Play Protect.
O roubo de dados ocorre por meio de sobreposições.
O Rokarolla consulta uma lista de alvos em seu servidor e, para cada aplicativo marcado como ativo, baixa uma página falsa de login em HTML e a armazena em um banco de dados local.
Quando a vítima abre o aplicativo real do banco ou da carteira digital, o malware exibe a página falsa por cima da interface legítima e captura tudo o que é digitado, incluindo dados de cartão.
O relatório mostra uma dessas páginas falsas imitando o aplicativo bancário imagin.
Outra sobreposição simula a tela de bloqueio do Android para capturar PIN, padrão ou senha, permitindo que o operador assuma o controle do telefone mesmo quando ele está bloqueado.
O trojan lê todos os SMS do dispositivo e também consegue enviar mensagens por conta própria.
Isso é suficiente para capturar os códigos de uso único enviados por bancos para aprovar logins e transações.
Ao se tornar o aplicativo padrão de mensagens e chamadas, ele também pode bloquear ligações recebidas, impedindo que um aviso do banco chegue ao usuário.
Um keylogger e um screen logger registram o que a vítima digita e vê, enquanto o trojan coleta contatos e lê notificações.
A área de transferência também é alterada silenciosamente, trocando endereços de carteiras por dados controlados pelo invasor, de modo que um pagamento em criptomoedas copiado pelo usuário seja enviado para a conta errada.
Para a vigilância, o Rokarolla evita o uso tradicional do MediaProjection para espelhamento de tela, que exibe um aviso visível de gravação.
Em vez disso, ele tira capturas de tela por meio da Acessibilidade, comprime as imagens em PNG e as envia uma a uma.
Esse método é mais simples e discreto do que o VNC oculto visto em famílias como Klopatra.
O malware traz vários domínios C2 de reserva e pode receber novos domínios em tempo real, o que reduz muito a efetividade de derrubar apenas um servidor.
Seus 137 comandos também superam os 107 identificados pela Zimperium no trojan HOOK, e o padrão segue a mesma lógica observada em uma onda de banklers para Android em 2026: droppers que imitam apps legítimos, abuso da Acessibilidade e sobreposições em HTML.
Não há patch a aplicar nesse caso.
Trata-se de malware, e não de uma falha de produto.
Por isso, as defesas seguem o básico para esse tipo de ameaça no Android: instalar aplicativos apenas pela Google Play, manter o Play Protect ativado e encarar qualquer solicitação inesperada de Acessibilidade como um sinal de alerta, já que essa permissão sustenta toda a cadeia do ataque.
A Zimperium informou que seus próprios produtos detectam a família e que os indicadores de comprometimento estão em seu repositório no GitHub.
A empresa não atribuiu o Rokarolla a um grupo específico.
Mas a análise do código deixa claro o objetivo: um trojan bancário criado para contornar exatamente as proteções das quais os usuários são orientados a depender, do Play Protect à tela de bloqueio.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...