Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Trojan bancário Rokarolla

Trojan bancário Rokarolla

Por Mezo em Malware móvel, Trojan Bancário
Traduzir Para:

Pesquisadores de cibersegurança identificaram um novo trojan bancário para Android conhecido como Rokarolla, nome derivado de sua infraestrutura de Comando e Controle (C2). O malware foi projetado para atacar uma ampla gama de serviços financeiros, com capacidade para atingir 217 aplicativos bancários e de criptomoedas. Equipado com 137 comandos remotos, o Rokarolla oferece aos cibercriminosos um nível excepcional de controle sobre os dispositivos comprometidos.

Uma vez instalado, o malware pode remover as proteções da tela de bloqueio, interceptar e enviar mensagens SMS, manipular o conteúdo da área de transferência para redirecionar transferências de criptomoedas e até mesmo desativar os mecanismos de segurança integrados do Google.

Distribuição disfarçada por meio de aplicativos falsos

O Rokarolla é distribuído principalmente por meio de sites maliciosos que se fazem passar por aplicativos legítimos e populares, incluindo o TikTok e o Google Chrome.

Inicialmente, as vítimas baixam um aplicativo dropper que se passa pelo Google Play Protect. Explorando essa aparência confiável, o dropper persuade os usuários a concederem permissões ao Serviço de Acessibilidade e facilita a instalação do código malicioso. Após a execução, um dos comandos de Rokarolla desativa imediatamente o Play Protect, eliminando uma importante camada de segurança do Android.

Ataques de sobreposição projetados para roubar credenciais

O roubo de credenciais é realizado por meio de sofisticados ataques de sobreposição. O Rokarolla obtém uma lista de aplicativos-alvo de seu servidor de comando e baixa páginas de login HTML fraudulentas correspondentes a esses aplicativos. Essas interfaces falsificadas são armazenadas localmente e exibidas sempre que uma vítima abre um aplicativo legítimo de banco ou criptomoeda.

As telas falsas são projetadas para capturar todas as informações inseridas pelo usuário, incluindo nomes de usuário, senhas e dados de cartão de pagamento. Os pesquisadores observaram um exemplo que imitava de forma convincente o aplicativo bancário 'imagin'.

O malware também utiliza uma sobreposição falsa na tela de bloqueio do Android, capaz de coletar PINs, padrões e senhas. Essa funcionalidade permite que os invasores mantenham o acesso e o controle mesmo quando o dispositivo está bloqueado.

Roubo de credenciais, vigilância e fraude financeira em um único pacote.

Rokarolla combina múltiplos mecanismos de vigilância e roubo para maximizar a coleta de dados e o ganho financeiro:

  • O monitoramento completo de SMS e os recursos de envio de mensagens permitem a interceptação de senhas de uso único utilizadas para autenticação bancária e aprovação de transações.
  • Ao se definir como o aplicativo padrão de mensagens e chamadas do dispositivo, o malware pode bloquear chamadas recebidas, potencialmente impedindo que alertas de fraude cheguem às vítimas.
  • As funções integradas de registro de teclas digitadas e de tela capturam a atividade do usuário, enquanto os contatos e as notificações são coletados continuamente.
  • A manipulação da área de transferência substitui silenciosamente os endereços copiados de carteiras de criptomoedas por endereços controlados pelo atacante, desviando fundos sem o conhecimento da vítima.

Técnicas de monitoramento furtivas evitam a detecção

Ao contrário de muitas famílias de malware para Android que dependem da gravação de tela baseada em MediaProjection, o Rokarolla adota uma estratégia de vigilância mais discreta. Em vez de acionar notificações visíveis de gravação, ele captura telas por meio dos Serviços de Acessibilidade, as comprime em arquivos PNG e as transmite individualmente aos seus operadores.

Essa abordagem reduz a probabilidade de detecção, ao mesmo tempo que fornece aos atacantes uma visão detalhada da atividade do usuário. Comparado às implementações ocultas de VNC usadas por famílias de malware como HOOK e Klopatra, o monitoramento baseado em capturas de tela do Rokarolla é mais simples e discreto.

Infraestrutura resiliente e uma tendência crescente de malware

O malware foi desenvolvido para resistir a tentativas de interrupção. Vários domínios de comando e controle de backup estão incorporados ao código, e os operadores podem atribuir servidores adicionais dinamicamente sempre que necessário. Consequentemente, desativar um único servidor de comando tem pouco impacto na operação geral.

Seu extenso conjunto de comandos excede os 107 comandos previamente documentados no trojan bancário HOOK, refletindo a crescente sofisticação dos malwares bancários para Android observada ao longo de 2026. A metodologia de ataque segue um padrão familiar que se tornou cada vez mais comum:

  • Distribuição por meio de instaladores de aplicativos falsos.
  • Abuso dos Serviços de Acessibilidade para escalonamento de privilégios e controle de dispositivos.
  • Utilização de sobreposições baseadas em HTML para coletar credenciais e informações confidenciais.

As medidas defensivas continuam sendo cruciais.

Como o Rokarolla é um malware e não uma vulnerabilidade de software, não existe nenhuma correção de segurança capaz de eliminar a ameaça. A proteção depende da observância das práticas de segurança estabelecidas para Android.

Os aplicativos devem ser instalados somente a partir da loja oficial Google Play, o Google Play Protect deve permanecer ativado o tempo todo e qualquer solicitação inesperada de permissões de acessibilidade deve ser considerada um sinal de alerta importante. O acesso de acessibilidade serve como base para a cadeia de ataque do Rokarolla e possibilita muitas de suas funcionalidades mais perigosas.

A atribuição permanece desconhecida.

Até o momento desta publicação, o Rokarolla não foi associado a nenhum agente malicioso ou grupo cibercriminoso identificado publicamente. No entanto, seu design demonstra claramente um esforço deliberado para burlar as proteções em que os usuários do Android são incentivados a confiar, incluindo o Play Protect, as proteções da tela de bloqueio e outros controles de segurança integrados.

As capacidades do malware destacam a contínua evolução dos trojans bancários para Android e a crescente sofisticação das ameaças móveis com motivação financeira.

Tendendo

Mais visto

Carregando...