Pesquisadores de segurança do zLabs, divisão da empresa Zimperium, documentaram um novo trojan bancário para Android, Rokarolla, que mira 217 aplicativos bancários e de criptomoedas e possui 137 comandos remotos.
Juntos, eles dão a um operador controle quase total de um celular infectado: rouba PINs da tela de bloqueio, lê e envia SMS, reescreve a área de transferência para redirecionar pagamentos de criptomoedas e desativa o Google Play Protect.
Rokarolla, nome originado de seus servidores de comando e controle, se espalha por sites maliciosos disfarçados de aplicativos conhecidos como TikTok e Chrome.
A primeira coisa que uma vítima instala é um dropper (programa que instala malware adicional) que se faz passar pelo Google Play Protect. Ele usa esse disfarce para instalar a carga maliciosa e obter acesso à Acessibilidade. Quando o malware começa a rodar, um de seus comandos desativa o Play Protect.
O golpe acontece por meio de sobreposições. O Rokarolla busca uma lista de alvos em seu servidor e, para cada aplicativo sinalizado como ativo, baixa uma página falsa de login em HTML e a armazena em um banco de dados local. Quando a vítima abre o aplicativo real de banco ou carteira, o malware sobrepõe a página falsa e captura tudo o que é digitado, incluindo dados de cartões.
O relatório mostra uma dessas páginas falsas imitando o aplicativo bancário 'imagin'. Uma sobreposição separada imita a tela de bloqueio do Android para capturar o PIN, padrão ou senha, o que permite ao operador controlar o celular mesmo enquanto está bloqueado.
Ele lê todos os SMS no dispositivo e pode enviar mensagens, o que é suficiente para capturar os códigos temporários (OTP) que os bancos usam para aprovar logins e transações. Ao se tornar o aplicativo padrão do celular para textos e chamadas, ele também pode bloquear chamadas recebidas, então um aviso do banco nunca chega.
Um keylogger (gravador de teclas) e screen logger (gravador de tela) registram o que o usuário digita e vê, e o trojan captura contatos e lê notificações. A área de transferência é reescrita silenciosamente, substituindo endereços de carteiras pelos do atacante para que um pagamento de criptomoedas copiado caia na conta errada.
Para vigilância, o Rokarolla evita a transmissão de tela(MediaProjection), que exibe um aviso visível de gravação, e em vez disso tira capturas de tela pela Acessibilidade, comprime em PNG e as envia quadro a quadro. Essa abordagem de instantâneos é mais simples e discreta do que o VNC oculto ao vivo visto em famílias como a Klopatra.
O malware carrega múltiplos domínios C2 (comando e controle) alternativos e pode receber novos em tempo real, então derrubar um único servidor tem pouco efeito. Seus 137 comandos superam os 107 contados pela Zimperium no trojan HOOK, e o roteiro é o mesmo que circula em uma onda de bankers (trojans bancários) Android de 2026: droppers de apps falsos, abuso de Acessibilidade e sobreposições em HTML.
Não há correção para aplicar aqui. Trata-se de malware, não de uma falha de produto, então as defesas são as mesmas recomendadas para bankers Android. Instale aplicativos apenas na Google Play, mantenha o Play Protect ativado e trate qualquer solicitação inesperada de Acessibilidade como um sinal de alerta, já que essa única permissão impulsiona toda a cadeia de ataque.
A Zimperium afirma que seus próprios produtos detectam a família, e os indicadores de comprometimento estão disponíveis em seu repositório no GitHub.
A Zimperium não vinculou o Rokarolla a um grupo identificado. O que o código revela é a intenção: um banker desenvolvido para vencer as proteções exatas que os usuários são instruídos a confiar, desde o Play Protect até a tela de bloqueio.
