Novo trojan bancário Android Rokarolla ataca 217 aplicativos
Um novo trojan bancário para Android, denominado Rokarolla, está atacando 217 aplicativos de bancos e criptomoedas, utilizando um conjunto extenso de 137 comandos. O malware é distribuído por meio de sites maliciosos que se passam por provedores do Google Chrome ou TikTok, permitindo que os invasores assumam o controle administrativo total de dispositivos comprometidos. Entre suas capacidades, estão o roubo de credenciais de tela de bloqueio, listas de contatos e dados de SMS, além de registrar continuamente as entradas do usuário através de keyloggers.
Durante a instalação, o aplicativo malicioso se apresenta como um dropper e finge ser o Google Play Protect, o sistema anti-malware nativo do Android. Após a instalação, o Rokarolla solicita permissões de serviços de acessibilidade e acesso a notificações, SMS e chamadas. O malware se comunica com um servidor de comando e controle (C2), enviando um perfil básico do dispositivo infectado, que é utilizado para gerar um identificador único para cada vítima.
O principal objetivo do Rokarolla é o roubo de informações financeiras. Quando um aplicativo da lista de 217 é aberto, o malware exibe uma sobreposição falsa de login para capturar credenciais e dados financeiros. Além disso, utiliza táticas de evasão como desativar o Google Play Protect e ocultar seu ícone, tornando-se uma ameaça significativa para usuários de Android. A Zimperium, empresa de segurança móvel que descobriu o malware, recomenda que os usuários evitem baixar APKs fora do Google Play e tenham cautela ao conceder permissões de acessibilidade.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).