Trojan Rokarolla: Malware avançado ameaça 217 aplicativos bancários em dispositivos Android

Pesquisadores de segurança cibernética alertam sobre o surgimento de um novo software malicioso, denominado Rokarolla, que representa um risco considerável para usuários de smartphones Android. Este trojan bancário, altamente sofisticado, foi projetado para roubar dados sensíveis, incluindo credenciais de acesso a bancos, informações de cartões e saldos de carteiras digitais de criptomoedas, por meio de espionagem e controle remoto dos dispositivos comprometidos. Sua complexa arquitetura o posiciona como uma das ameaças mais preocupantes do cenário digital atual.

A amplitude da atuação do Rokarolla é um dos pontos que mais chamam a atenção, visto que ele pode infectar e explorar vulnerabilidades em 217 aplicativos do segmento financeiro. A infraestrutura por trás deste malware é notavelmente avançada, permitindo-lhe executar uma vasta gama de operações. Especialistas em cibersegurança identificaram que o trojan é capaz de acionar 137 comandos distintos, abrangendo desde a simples coleta de informações do aparelho até a tomada total de controle sobre o dispositivo comprometido.

A metodologia de disfarce utilizada pelo Rokarolla potencializa seu caráter perigoso, pois o software não se apresenta como uma ameaça evidente. Para enganar as vítimas, ele simula ser aplicativos amplamente conhecidos e confiáveis, como o sistema de segurança Google Play Protect, o navegador Chrome e a popular rede social TikTok. Essa estratégia de camuflagem aumenta significativamente as chances de enganar usuários desavisados, facilitando sua disseminação e instalação.

Como o Rokarolla consegue se instalar e controlar aparelhos Android

O processo de contaminação por este malware começa fora do ecossistema de distribuição oficial de aplicativos do Android. Os criminosos cibernéticos por trás do trojan Rokarolla propagam a ameaça utilizando websites falsos, empregando técnicas de engenharia social e criando plataformas que mimetizam atualizações de sistema ou programas legítimos, induzindo o download.

Ao acessar essas páginas comprometidas, o indivíduo é incentivado a baixar um arquivo no formato APK que já contém elementos maliciosos. Este pacote inicial funciona como um “dropper”, um componente que serve como porta de entrada. Sua função é preparar o terreno para a instalação do núcleo do código malicioso do Rokarolla no dispositivo.

Uma vez que este componente inicial é instalado, o software inicia uma série de verificações detalhadas. Ele analisa as características e configurações do smartphone, garantindo que o ambiente seja propício e que a infecção completa possa ser realizada de maneira bem-sucedida, adaptando-se às especificidades do aparelho.

Rokarolla explora recursos de acessibilidade para obter controle total do celular

Uma das estratégias mais perigosas adotadas pelo Rokarolla envolve a manipulação dos recursos de acessibilidade nativos do sistema operacional Android, que são originalmente projetados para auxiliar usuários com necessidades especiais.

Embora esses recursos tenham sido criados com a finalidade de assistir pessoas com deficiências visuais, auditivas ou motoras, quando um aplicativo mal-intencionado, como o Rokarolla, obtém permissão para utilizá-los, ele adquire uma capacidade de controle quase irrestrita sobre o dispositivo móvel. Esta é uma falha de segurança crítica, pois o usuário, sem perceber, entrega as chaves do seu aparelho aos criminosos.

No momento em que a vítima é persuadida a conceder tal permissão, o trojan Rokarolla passa a ter a prerrogativa de realizar uma série de operações, tais como:

• Acessar e interpretar todo o conteúdo exibido no display do aparelho.
• Replicar ações do usuário, como toques e movimentos na tela.
• Executar funções de forma autônoma dentro de outros programas instalados.
• Armazenar e interceptar mensagens de texto (SMS) recebidas.
• Monitorar e exibir todas as notificações do sistema.
• Conceder autorizações para outras funções sem a ciência ou aprovação do dono do smartphone.
• Executar comandos de administração com privilégios elevados no sistema.

Na prática, essa permissão estendida confere aos invasores a habilidade de manipular uma vasta gama de funcionalidades do smartphone de maneira completamente furtiva, sem que o proprietário do dispositivo tenha qualquer indício da atividade maliciosa em curso.

Como o Rokarolla coleta dados para planejar ataques personalizados

Depois de obter as autorizações cruciais, o Rokarolla avança para a etapa de coleta intensiva de informações sobre o dispositivo infectado, criando um perfil detalhado da vítima.

Este programa malicioso compila uma série de dados técnicos importantes, incluindo:

• A quantidade de memória RAM operacional do aparelho.
• O espaço total de armazenamento interno do smartphone.
• A porcentagem atual de bateria do dispositivo.
• A edição do sistema operacional Android em uso.
• O tipo e modelo exato do telefone.
• A listagem completa de todos os aplicativos presentes no sistema.

Todos esses detalhes são então enviados para um servidor de Comando e Controle (C2), uma infraestrutura remota mantida pelos cibercriminosos. Este servidor funciona como um centro nervoso, de onde os dispositivos comprometidos são gerenciados e coordenados, permitindo aos atacantes orquestrar ações em massa ou individuais.

Com base nesses dados coletados, os responsáveis pelo ataque podem tailorizar suas investidas, adaptando-as ao perfil de cada vítima. Essa personalização aumenta consideravelmente a probabilidade de sucesso das ações fraudulentas, tornando a operação mais eficiente e difícil de ser detectada.

Rokarolla usa “overlay attacks” para furtar dados de bancos e credenciais

A principal estratégia utilizada pelo trojan bancário Rokarolla para subtrair informações financeiras é a técnica de sobreposição de tela, internacionalmente conhecida como “overlay attacks”. Este método é particularmente insidioso por sua capacidade de enganar visualmente o usuário.

O malware monitora continuamente quais aplicativos são abertos no dispositivo. Assim que um dos 217 programas financeiros que estão em sua lista de alvos é iniciado, o Rokarolla imediatamente lança uma interface falsa, que se sobrepõe à tela legítima do aplicativo, criando uma ilusão perfeita.

Para o usuário desavisado, a aparência e a funcionalidade da tela permanecem idênticas às do aplicativo autêntico, não levantando suspeitas sobre a fraude em curso.

A interface adulterada é uma cópia fiel, reproduzindo com precisão os logotipos, as paletas de cores e todos os elementos visuais da aplicação verdadeira. No momento em que o usuário digita seu nome de acesso, senha, códigos de autenticação ou qualquer dado financeiro, estas informações são instantaneamente capturadas e enviadas diretamente para os operadores do ataque.

Além de buscar as credenciais de acesso a contas bancárias, o Rokarolla também está programado para furtar:

• Números e dados de cartões de crédito e débito.
• Informações armazenadas em carteiras eletrônicas.
• Credenciais de login para exchanges e plataformas de negociação de criptoativos.
• Chaves e tokens utilizados para autenticação de dois fatores.
• O conteúdo de mensagens SMS, incluindo códigos de verificação e alertas.

Adicionalmente, as análises dos pesquisadores revelaram a presença de uma funcionalidade de “keylogger” embutida no Rokarolla. Esta ferramenta maliciosa tem a capacidade de registrar cada tecla pressionada no dispositivo, permitindo aos criminosos capturar praticamente qualquer informação digitada pelo usuário.

Uma descoberta particularmente preocupante é a capacidade do trojan de tentar interceptar o PIN de desbloqueio da tela do smartphone. De posse desta informação crítica, os criminosos podem aprofundar seu controle sobre o aparelho e, consequentemente, sobre a vida digital da vítima, tornando a recuperação de contas e a mitigação dos danos uma tarefa muito mais árdua e complexa.

Como o Rokarolla se esconde para desativar proteções e manter a infecção ativa

Em conformidade com as tendências observadas em ameaças digitais contemporâneas, o Rokarolla foi meticulosamente desenvolvido para operar por longos períodos sem ser percebido, visando uma permanência discreta no sistema.

Para concretizar essa meta de invisibilidade e longevidade, o malware utiliza uma série de táticas sofisticadas de evasão e camuflagem.

Uma das manobras mais arriscadas e prejudiciais que o Rokarolla tenta realizar é a desativação do Google Play Protect, que é o mecanismo de segurança primordial do Android, concebido para identificar e neutralizar aplicativos potencialmente nocivos.

Além disso, o software malicioso possui a capacidade de executar as seguintes ações:

• Ocultar seu próprio ícone da tela inicial e da lista de aplicativos.
• Mimetizar atividades normais do sistema para não levantar suspeitas do usuário.
• Finalizar chamadas de voz que estejam em andamento ou que cheguem ao aparelho.
• Modificar ou suprimir alertas e avisos relacionados à segurança do sistema.
• Prevenir que o usuário receba notificações de instituições financeiras sobre transações suspeitas.
• Dificultar ou impedir o processo de remoção do próprio software do dispositivo.

A aplicação desses métodos de ocultação e sabotagem eleva significativamente o tempo de atividade do trojan no aparelho, permitindo que os criminosos continuem suas operações de forma ininterrupta e sem serem detectados por um período prolongado, aumentando o potencial de dano aos usuários.