Novo vírus rouba senhas de 217 bancos e controla celulares Android

A empresa de segurança móvel Zimperium identificou um novo cavalo de troia bancário para Android batizado de Rokarolla. O malware já foi registrado atacando 217 aplicativos de bancos e carteiras de criptomoedas e chama atenção por combinar roubo financeiro com vigilância total do dispositivo infectado.

O ataque começa em sites maliciosos que distribuem arquivos disfarçados de aplicativos populares, como TikTok e Google Chrome. Ao baixar o arquivo, um segundo malware é instalado primeiro, se apresentando como ferramenta de segurança do Google Play Protect. É ele quem convence a vítima a instalar o vírus principal.

Como o Rokarolla toma conta do celular?

Após a instalação, o trojan solicita acesso aos Serviços de Acessibilidade do Android, recursos criados para auxiliar pessoas com deficiência. Com essa permissão, o malware monitora a tela e captura coordenadas de toque sem que o usuário perceba. Ele também se torna o aplicativo padrão de SMS e chamadas, o que permite interceptar mensagens e ligações em tempo real.

Quando a vítima abre um aplicativo financeiro legítimo, o Rokarolla consulta o servidor dos criminosos e exibe uma tela falsa de login por cima do aplicativo real. A mesma técnica é usada na tela de bloqueio do celular, onde o malware exibe um pedido de PIN falso para capturar a senha do aparelho.

O que o vírus faz depois de instalado?

Os pesquisadores identificaram 137 comandos diferentes que o Rokarolla pode executar. Entre as funções mapeadas estão as seguintes:

1. Gravação de tela em segredo: o malware usa uma técnica chamada Pseudo-VNC para registrar a tela em snapshots contínuos sem alertar o usuário.
2. Roubo de contatos do WhatsApp: o vírus copia listas de contatos e registra tudo o que é digitado no dispositivo.
3. Sequestro da área de transferência: ao copiar o endereço de uma carteira de criptomoeda, o endereço é trocado pelo dos criminosos antes da transferência ser concluída.
4. Bloqueio de chamadas: o malware silencia o celular e bloqueia ligações recebidas para impedir que o banco avise a vítima sobre movimentações suspeitas.
5. Desativação do Google Play Protect: o sistema de segurança nativo do Android é desabilitado para que o vírus não seja detectado.

Como proteger seu celular do vírus?

Randolph Barr, diretor de segurança da informação da Cequence Security, alerta que o cenário de ameaças móveis continua crescendo: só em 2024, mais de 4 milhões de ataques de engenharia social tiveram celulares como alvo. Os especialistas da Zimperium fazem as seguintes recomendações:

• Não baixe arquivos por links de terceiros ou anúncios pop-up: instale aplicativos apenas pela Google Play Store oficial.
• Negue acesso aos Serviços de Acessibilidade: aplicativos desconhecidos não precisam dessa permissão para funcionar.
• Fique atento ao comportamento do celular: tela que não apaga, recusa em desligar e lentidão repentina podem indicar infecção.
• Monitore suas contas financeiras: verifique se seus dados já foram expostos e ative alertas de transação em todos os aplicativos bancários.

Leia também: Celular seguro: o aplicativo do governo que protege o seu celular

O Rokarolla é mais um lembrete de que ameaças digitais evoluem na mesma velocidade em que nós adotamos novas tecnologias. Instalar apenas aplicativos de fontes oficiais e revisar as permissões concedidas a cada app são hábitos simples que fazem uma diferença real na proteção do seu celular e das suas finanças.