Trojan bancário rouba senhas de 217 bancos

Rokarolla: O novo trojan bancário para android que rouba senhas de 217 bancos e assume o controle do celular

O ecossistema Android continua sendo um dos principais alvos do cibercrime mundial. Sua ampla adoção, associada à diversidade de fabricantes e à facilidade de instalação de aplicativos provenientes de fontes externas, torna o sistema operacional um ambiente extremamente atrativo para grupos especializados em fraudes financeiras. Nos últimos anos, os trojans bancários evoluíram de simples ladrões de credenciais para plataformas completas de espionagem digital, capazes de assumir o controle total dos dispositivos infectados.

Essa tendência foi recentemente reforçada pela descoberta do Rokarolla, um novo malware para Android identificado pelos pesquisadores da Zimperium. O código malicioso chamou a atenção da comunidade de segurança por sua capacidade de atacar simultaneamente 217 aplicativos bancários e carteiras de criptomoedas, além de utilizar técnicas avançadas para controlar o aparelho, interceptar informações e monitorar as ações da vítima em tempo real.

O caso evidencia uma mudança significativa no perfil das ameaças móveis atuais: os criminosos não buscam apenas roubar senhas, mas controlar completamente a experiência digital do usuário, transformando o smartphone em uma ferramenta a serviço do atacante.

A ascensão dos trojans bancários móveis

Os trojans bancários para Android vêm se tornando cada vez mais sofisticados. Inicialmente, esses malwares limitavam-se à captura de credenciais bancárias por meio de páginas falsas ou interceptação de mensagens SMS.

Atualmente, a realidade é diferente.

Os novos trojans operam como plataformas multifuncionais de espionagem. Eles podem monitorar a tela, gravar atividades, capturar toques realizados pelo usuário, interceptar chamadas telefônicas e até manipular transações financeiras em tempo real.

Essa evolução demonstra que os dispositivos móveis deixaram de ser apenas ferramentas de comunicação e passaram a concentrar informações críticas relacionadas à vida financeira, profissional e pessoal dos usuários.

O que é o Rokarolla?

O Rokarolla é um trojan bancário para Android descoberto pela equipe de pesquisa zLabs da Zimperium. Seu nome deriva da infraestrutura de comando e controle (C2) utilizada pelos criminosos para gerenciar os aparelhos comprometidos.

O malware apresenta uma característica particularmente preocupante: ele combina roubo financeiro com vigilância integral do dispositivo.

Isso significa que, além de capturar dados bancários, o Rokarolla pode:

• Monitorar toda a atividade da tela;

• Registrar teclas digitadas;

• Gravar informações exibidas em aplicativos;

• Capturar listas de contatos;

• Interceptar mensagens SMS;

• Controlar funções do aparelho remotamente;

• Alterar dados copiados para a área de transferência.

Essa combinação de funcionalidades transforma o malware em uma ameaça extremamente abrangente.

O processo de infecção

O ataque inicia-se por meio de páginas fraudulentas cuidadosamente elaboradas para se parecerem com sites legítimos.

Segundo os pesquisadores, o malware é distribuído em arquivos que imitam aplicativos populares, incluindo versões falsas do TikTok e do navegador Google Chrome.

Quando a vítima realiza o download do arquivo, um segundo componente malicioso é instalado inicialmente.

Esse componente, conhecido como dropper, apresenta-se como uma ferramenta de proteção do Google Play Protect, convencendo o usuário a prosseguir com a instalação do malware principal.

A utilização de aplicativos populares como isca demonstra a sofisticação crescente das campanhas de engenharia social direcionadas a dispositivos móveis.

O abuso dos serviços de acessibilidade

Uma das técnicas mais perigosas empregadas pelo Rokarolla envolve os Serviços de Acessibilidade do Android.

Esses recursos foram originalmente desenvolvidos para auxiliar pessoas com deficiência visual, auditiva ou motora na utilização do sistema operacional. Entretanto, criminosos passaram a explorar essas funcionalidades para obter controle ampliado sobre os dispositivos.

Após receber essa permissão, o malware passa a:

• Monitorar o conteúdo exibido na tela;

• Capturar coordenadas dos toques realizados;

• Interagir automaticamente com aplicativos;

• Ler notificações;

• Executar ações em segundo plano.

Na prática, o dispositivo deixa de estar sob controle exclusivo do usuário.

O roubo de credenciais bancárias

Uma das capacidades mais sofisticadas do Rokarolla é a utilização de ataques de sobreposição de tela, conhecidos como overlay attacks.

Quando a vítima abre um aplicativo bancário legítimo, o malware consulta seu servidor de comando e controle para identificar qual instituição financeira está sendo utilizada.

Em seguida, exibe uma página HTML falsa sobre a interface real do aplicativo.

O usuário acredita estar digitando suas credenciais em um ambiente legítimo.

Entretanto, todas as informações são enviadas diretamente aos criminosos.

Esse método permite o roubo de:

• Usuários e senhas;

• PINs de autenticação;

• Códigos temporários;

• Senhas de desbloqueio do aparelho;

• Dados de autenticação multifator.

Vigilância e controle total do celular

Os pesquisadores identificaram nada menos que 137 comandos diferentes disponíveis para execução remota no dispositivo infectado.

Entre as funcionalidades observadas estão:

Keylogger

O malware registra tudo o que é digitado no aparelho.

Captura de Tela

Realiza capturas frequentes da tela para acompanhar a atividade da vítima.

Espionagem de Mensagens

Lê mensagens SMS e informações trocadas em aplicativos de comunicação.

Roubo de Contatos

Extrai listas de contatos, incluindo dados armazenados em aplicativos como WhatsApp.

Monitoramento Silencioso

Emprega uma técnica denominada Pseudo-VNC, que permite acompanhar a utilização do aparelho sem alertar a vítima.

Essa funcionalidade aproxima o Rokarolla de ferramentas de acesso remoto utilizadas por agentes de espionagem digital.

O Sequestro da Área de Transferência

Outro recurso particularmente perigoso é a manipulação da área de transferência do Android.

Quando o usuário copia um endereço de carteira de criptomoedas para realizar uma transferência, o malware substitui silenciosamente o endereço original por outro pertencente aos criminosos.

Se a vítima não verificar cuidadosamente os dados antes de confirmar a operação, os valores transferidos podem ser enviados diretamente aos atacantes.

Essa técnica, conhecida como clipboard hijacking, tem sido amplamente utilizada em campanhas envolvendo ativos digitais.

Por que o android continua sendo um alvo prioritário?

O Android é atualmente o sistema operacional móvel mais utilizado no mundo, estando presente em bilhões de dispositivos.

Essa popularidade, aliada à possibilidade de instalação de aplicativos fora da loja oficial, oferece oportunidades significativas para os criminosos.

Além disso, muitos usuários:

• Instalam APKs de fontes desconhecidas;

• Ignoram permissões solicitadas pelos aplicativos;

• Não mantêm o sistema atualizado;

• Não utilizam soluções de proteção móvel.

Esses fatores aumentam a superfície de ataque disponível para malwares sofisticados como o Rokarolla.

Estratégias de proteção

A prevenção continua sendo a medida mais eficaz contra ameaças móveis.

Especialistas recomendam:

• Utilizar Apenas a Google Play Store
• Evitar a instalação de aplicativos provenientes de sites desconhecidos.
• Verificar Permissões
• Desconfiar de aplicativos que solicitem acesso aos Serviços de Acessibilidade sem justificativa plausível.
• Atualizar o Sistema
• Manter o Android e os aplicativos sempre atualizados.
• Instalar Soluções de Segurança
• Ferramentas de proteção móvel podem detectar comportamentos suspeitos.
• Evitar APKs Não Oficiais
• Aplicativos distribuídos fora das lojas oficiais representam risco significativamente maior.
• Ativar Autenticação Multifator
• Adicionar camadas extras de proteção reduz o impacto do roubo de credenciais.

O futuro das ameaças móveis

A descoberta do Rokarolla evidencia uma tendência preocupante: os malwares móveis estão se tornando cada vez mais autônomos, sofisticados e difíceis de detectar.

A combinação entre engenharia social, abuso de recursos legítimos do sistema operacional e controle remoto avançado sugere que futuras ameaças poderão incorporar técnicas ainda mais complexas, incluindo inteligência artificial para adaptação dinâmica dos ataques.

Nesse cenário, a segurança dos dispositivos móveis deverá ocupar posição central nas estratégias de defesa das organizações e dos usuários.

Conclusão

O Rokarolla representa uma nova geração de trojans bancários móveis, caracterizada não apenas pelo roubo de credenciais financeiras, mas pelo controle integral do dispositivo comprometido. Sua capacidade de atacar centenas de aplicativos bancários, capturar informações sensíveis e monitorar silenciosamente a atividade da vítima demonstra o grau de sofisticação alcançado pelo cibercrime contemporâneo.

O incidente reforça a necessidade de adotar práticas rigorosas de segurança digital, especialmente em dispositivos móveis que concentram dados financeiros e informações pessoais de alto valor. Em um ambiente onde smartphones se tornaram extensões da identidade digital dos usuários, proteger esses dispositivos deixou de ser uma recomendação opcional e passou a ser um requisito essencial para a preservação da privacidade e da segurança financeira.

Referências Bibliográficas

• TecMundo. Novo vírus para Android rouba senhas de 217 bancos e toma controle do celular. Disponível em: https://www.tecmundo.com.br/seguranca/413908-novo-virus-para-android-rouba-senhas-de-217-bancos-e-toma-controle-do-celular.htm
• Zimperium zLabs. Pesquisa sobre o malware Rokarolla e ameaças móveis avançadas. Disponível em: https://www.zimperium.com/blog/