Pesquisadores analisaram um novo trojan Android chamado Rokarolla. Ele é capaz de assumir o controle de um dispositivo, roubar dados de login de aplicativos bancários e de criptomoedas de mais de 200 aplicativos e monitorar discretamente grande parte do que você faz no celular.
Em um dispositivo infectado, o Rokarolla rouba dados de login de serviços bancários e de criptomoedas. Ele também utiliza sobreposições falsas na tela de bloqueio para capturar seu PIN, padrão ou senha.
Quando você abre um dos aplicativos bancários ou de criptomoedas que constam na lista de alvos do Rokarolla, o malware baixa e exibe uma página de login falsa, idêntica à do aplicativo real, sobre o aplicativo verdadeiro. Tudo o que você digitar nessa página falsa, incluindo nomes de usuário, senhas e números de cartão, é enviado aos invasores.
Além disso, o Rokarolla se aproveita indevidamente dos recursos de acessibilidade Androidpara monitorar a atividade no dispositivo. Ele é capaz de reconhecer telas do WhatsApp ao procurar rótulos conhecidos, como “Bate-papos” e “Chamadas”, extrair informações de contato, ler mensagens SMS e enviar novas mensagens. Essas capacidades podem ajudá-lo a interceptar senhas de uso único (OTPs) e códigos de autenticação de dois fatores (2FA).
O Rokarolla pode assumir o controle de mensagens de texto e chamadas telefônicas, o que ajuda a bloquear alertas de segurança e ocultar indícios de fraude.
Ele também pode registrar tudo o que você digita e vê na tela. Se você copiar e colar o endereço de uma carteira de criptomoedas, o malware pode substituí-lo secretamente por um que pertença aos invasores.
Outros recursos ajudam o malware a permanecer oculto, incluindo a capacidade de ocultar seu ícone, silenciar o aparelho, desativar o Google Play Protect e impedir que a tela entre no modo de suspensão.
Como se espalha
O Rokarolla é distribuído por meio de sites não autorizados, onde é oferecido como versões falsas de aplicativos populares, como o TikTok ou Chrome.
Em vez de redirecioná-lo para a Google Play Store oficial, esses sites maliciosos o levam a baixar o aplicativo diretamente, um processo conhecido como “sideloading”. Após a instalação, o aplicativo falso se faz passar pelo Google Play Protect e, discretamente, baixa e instala o malware responsável pelo ataque.
Para obter o acesso de que precisa, o aplicativo falso solicita permissões de alto nível, incluindo acesso à acessibilidade, permissão para ler mensagens SMS e acesso às notificações. Como essas solicitações podem parecer legítimas, muitos usuários podem aprová-las sem perceber os riscos.
Como se manter seguro
Para evitar trojans bancários como o Rokarolla, há algumas orientações que você deve seguir:
- Não confie em aplicativos que afirmam ser o Google Play Protect ou outro componente do sistema. Você nunca deve precisar instalá-los manualmente.
- Utilize proteção antimalware atualizada e em tempo real, com proteção na web , em seus dispositivos.
- Não instale aplicativos por meios alternativos que estejam disponíveis na Google Play Store. Embora, às vezes, malware possa se infiltrar nas lojas oficiais, o risco é muito maior em outros lugares.
- Negue permissões avançadas a aplicativos baixados a partir de links ou sites, especialmente se eles solicitarem acesso à funcionalidade de acessibilidade, permissões para SMS ou a capacidade de gerenciar chamadas, mesmo que isso não corresponda à finalidade declarada.
- Na verdade, qualquer solicitação de acesso às funcionalidades de acessibilidade deve ser tratada com cautela. Se um aplicativo que não seja claramente uma ferramenta de acessibilidade solicitar esse acesso, recuse a solicitação e avalie novamente se você confia na fonte.
- Analise com atenção as telas de login de aplicativos bancários e de criptomoedas. Se algo parecer suspeito ou se você vir várias solicitações de login, feche o aplicativo e reabra-o a partir do ícone oficial.
Os golpistas sabem mais sobre você do que você imagina.
Mobile Security Malwarebytes Mobile Security você contra phishing, mensagens de texto fraudulentas, sites maliciosos e muito mais. Com o Scam Guard integrado, alimentado por IA e em tempo real.
