Rokarolla: Novo Android Banker Ameaça 217 Aplicativos Financeiros e de Criptomoedas
Uma nova ameaça bancária para Android, apelidada de Rokarolla, foi descoberta por analistas de segurança. O malware se disfarça como aplicativos populares e busca roubar credenciais financeiras de usuários, visando mais de 200 aplicativos bancários e de criptomoedas.
MundiX News·19 de junho de 2026·4 min de leitura·👁 5 views
Analistas da empresa Zimperium identificaram um novo malware bancário para Android, denominado Rokarolla. Este programa malicioso se propaga através de sites que se disfarçam como páginas de download de aplicativos populares, como Chrome e TikTok. Uma vez que o dispositivo da vítima é infectado, o malware obtém controle praticamente total sobre ele.
De acordo com os pesquisadores, o Rokarolla tem como alvo pelo menos 217 aplicativos bancários e de criptomoedas, e está equipado com um conjunto de 137 comandos para controle remoto do dispositivo infectado. É notável que, nesse aspecto, o Rokarolla supera até mesmo o conhecido trojan HOOK, capaz de executar 107 comandos. A cadeia de infecção do Rokarolla começa com um 'dropper' que se apresenta como Google Play Protect. Sob o pretexto de instalar o Chrome ou TikTok, ele convence o usuário a conceder acesso ao Accessibility Service, e então implanta a carga útil principal ('payload').
Após a execução, o trojan busca desativar a proteção real do Google Play Protect. Em seguida, o malware se comunica com um servidor de comando e controle (C&C), enviando aos operadores informações sobre o dispositivo infectado, como modelo do smartphone, versão do Android, idioma do sistema, configurações de tela, nível de bateria e quantidade de memória. Com base nessas informações, um identificador único é gerado para cada vítima. A principal tarefa do Rokarolla é o roubo de dados financeiros. Para isso, o malware verifica a presença de aplicativos de destino no dispositivo e baixa os modelos de 'phishing' correspondentes para eles. Consequentemente, quando um usuário abre um aplicativo bancário ou uma carteira de criptomoedas, uma falsa página de login em HTML é exibida sobre a janela legítima. Todos os dados inseridos nela, incluindo logins, senhas e detalhes do cartão, são transmitidos aos criminosos.
Além disso, sobreposições ('overlays') são usadas não apenas para 'phishing'. Uma forma falsa separada imita a tela de bloqueio do Android e permite o roubo de PINs, padrões gráficos e senhas de desbloqueio. Isso possibilita que os criminosos realizem ações que normalmente não seriam acessíveis em um smartphone bloqueado. Adicionalmente, o Rokarolla pode ler e enviar mensagens SMS, permitindo que hackers interceptem códigos de confirmação de uso único. Além disso, se o malware obtiver o status de aplicativo padrão para chamadas e mensagens no sistema, ele pode bloquear chamadas recebidas (incluindo alertas de bancos sobre operações suspeitas).
O arsenal do malware também inclui um 'keylogger', ferramentas para registrar ações na interface, coletar contatos e notificações, bem como funções para trabalhar com a área de transferência, através das quais o trojan substitui os endereços de carteiras de criptomoedas copiados na área de transferência pelos endereços dos atacantes. Para monitorar o usuário, o Rokarolla não utiliza o mecanismo padrão de gravação de tela via MediaProjection, pois isso exibe um aviso perceptível. Em vez disso, o malware tira capturas de tela sequenciais através da Accessibility API, as salva no formato PNG e as envia uma a uma para seu servidor de C&C. O trojan também utiliza vários domínios de C&C de backup, o que dificulta o bloqueio da infraestrutura, e é capaz de ocultar sua atividade removendo o ícone da lista de aplicativos, desativando som e vibração, e impedindo que a tela entre em modo de suspensão.
A Zimperium lembra aos usuários que o download de aplicativos deve ser feito exclusivamente pela Google Play Store, que o Play Protect nunca deve ser desativado, e que é preciso ter atenção a quaisquer solicitações inesperadas de acesso aos serviços de acessibilidade.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Analistas da empresa Zimperium identificaram um novo malware bancário para Android, denominado Rokarolla. Este programa malicioso se propaga através de sites que se disfarçam como páginas de download de aplicativos populares, como Chrome e TikTok. Uma vez que o dispositivo da vítima é infectado, o malware obtém controle praticamente total sobre ele.
De acordo com os pesquisadores, o Rokarolla tem como alvo pelo menos 217 aplicativos bancários e de criptomoedas, e está equipado com um conjunto de 137 comandos para controle remoto do dispositivo infectado. É notável que, nesse aspecto, o Rokarolla supera até mesmo o conhecido trojan HOOK, capaz de executar 107 comandos. A cadeia de infecção do Rokarolla começa com um 'dropper' que se apresenta como Google Play Protect. Sob o pretexto de instalar o Chrome ou TikTok, ele convence o usuário a conceder acesso ao Accessibility Service, e então implanta a carga útil principal ('payload').
Após a execução, o trojan busca desativar a proteção real do Google Play Protect. Em seguida, o malware se comunica com um servidor de comando e controle (C&C), enviando aos operadores informações sobre o dispositivo infectado, como modelo do smartphone, versão do Android, idioma do sistema, configurações de tela, nível de bateria e quantidade de memória. Com base nessas informações, um identificador único é gerado para cada vítima. A principal tarefa do Rokarolla é o roubo de dados financeiros. Para isso, o malware verifica a presença de aplicativos de destino no dispositivo e baixa os modelos de 'phishing' correspondentes para eles. Consequentemente, quando um usuário abre um aplicativo bancário ou uma carteira de criptomoedas, uma falsa página de login em HTML é exibida sobre a janela legítima. Todos os dados inseridos nela, incluindo logins, senhas e detalhes do cartão, são transmitidos aos criminosos.
Além disso, sobreposições ('overlays') são usadas não apenas para 'phishing'. Uma forma falsa separada imita a tela de bloqueio do Android e permite o roubo de PINs, padrões gráficos e senhas de desbloqueio. Isso possibilita que os criminosos realizem ações que normalmente não seriam acessíveis em um smartphone bloqueado. Adicionalmente, o Rokarolla pode ler e enviar mensagens SMS, permitindo que hackers interceptem códigos de confirmação de uso único. Além disso, se o malware obtiver o status de aplicativo padrão para chamadas e mensagens no sistema, ele pode bloquear chamadas recebidas (incluindo alertas de bancos sobre operações suspeitas).
O arsenal do malware também inclui um 'keylogger', ferramentas para registrar ações na interface, coletar contatos e notificações, bem como funções para trabalhar com a área de transferência, através das quais o trojan substitui os endereços de carteiras de criptomoedas copiados na área de transferência pelos endereços dos atacantes. Para monitorar o usuário, o Rokarolla não utiliza o mecanismo padrão de gravação de tela via MediaProjection, pois isso exibe um aviso perceptível. Em vez disso, o malware tira capturas de tela sequenciais através da Accessibility API, as salva no formato PNG e as envia uma a uma para seu servidor de C&C. O trojan também utiliza vários domínios de C&C de backup, o que dificulta o bloqueio da infraestrutura, e é capaz de ocultar sua atividade removendo o ícone da lista de aplicativos, desativando som e vibração, e impedindo que a tela entre em modo de suspensão.
A Zimperium lembra aos usuários que o download de aplicativos deve ser feito exclusivamente pela Google Play Store, que o Play Protect nunca deve ser desativado, e que é preciso ter atenção a quaisquer solicitações inesperadas de acesso aos serviços de acessibilidade.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
