Os investigadores analisaram um novo trojan Android chamado Rokarolla. Este é capaz de assumir o controlo de um dispositivo, roubar dados de acesso a aplicações bancárias e de criptomoedas em mais de 200 aplicações e monitorizar discretamente grande parte do que faz no seu telemóvel.
Num dispositivo infetado, o Rokarolla rouba dados de acesso a serviços bancários e de criptomoedas. Além disso, utiliza sobreposições falsas no ecrã de bloqueio para capturar o seu PIN, padrão ou palavra-passe.
Quando abre uma das aplicações bancárias ou de criptomoedas que constam na lista de alvos do Rokarolla, o malware descarrega e apresenta uma página de início de sessão falsa, idêntica à da aplicação real, sobre esta. Tudo o que introduzir nessa página falsa, incluindo nomes de utilizador, palavras-passe e números de cartão, é enviado aos atacantes.
Por outro lado, o Rokarolla aproveita-se das funcionalidades de acessibilidade Androidpara monitorizar a atividade no dispositivo. É capaz de reconhecer ecrãs do WhatsApp ao procurar rótulos familiares, como «Conversas» e «Chamadas», extrair informações de contacto, ler mensagens SMS e enviar novas mensagens. Estas capacidades podem ajudá-lo a interceptar palavras-passe de uso único (OTPs) e códigos de autenticação de dois fatores (2FA).
O Rokarolla pode assumir o controlo das mensagens de texto e das chamadas telefónicas, o que lhe permite bloquear alertas de segurança e ocultar sinais de fraude.
Também pode registar tudo o que escreve e tudo o que vê no ecrã. Se copiar e colar o endereço de uma carteira de criptomoedas, o malware pode substituí-lo secretamente por um que pertença aos atacantes.
Outras funcionalidades ajudam o malware a manter-se oculto, incluindo a capacidade de ocultar o seu ícone, silenciar o dispositivo, desativar o Google Play Protect e impedir que o ecrã entre em modo de suspensão.
Como se propaga
O Rokarolla é distribuído através de sites fraudulentos, onde é apresentado como versões falsas de aplicações populares, como o TikTok ou Chrome.
Em vez de o redirecionarem para a Google Play Store oficial, estes sites maliciosos levam-no a descarregar a aplicação diretamente, um processo conhecido como «sideloading». Depois de a instalar, a aplicação falsa faz-se passar pelo Google Play Protect e descarrega e instala discretamente o malware responsável pelo ataque.
Para obter o acesso de que necessita, a aplicação falsa solicita permissões de grande alcance, incluindo acesso à funcionalidade de acessibilidade, a permissão para ler mensagens SMS e acesso às notificações. Como estes pedidos podem parecer legítimos, muitos utilizadores podem aprová-los sem se aperceberem dos riscos.
Como se manter seguro
Para evitar trojans bancários como o Rokarolla, há algumas orientações que deve seguir:
- Não confie em aplicações que afirmam ser o Google Play Protect ou outro componente do sistema. Nunca deverá ter de as instalar manualmente.
- Utilize proteção antimalware atualizada e em tempo real, com proteção na Web , nos seus dispositivos.
- Não instale aplicações que estejam disponíveis na Google Play Store. Embora, por vezes, o malware possa infiltrar-se nas lojas oficiais, o risco é muito maior noutros locais.
- Negue permissões avançadas a aplicações descarregadas a partir de links ou sites, especialmente se estas solicitarem acesso às funcionalidades de acessibilidade, permissões para SMS ou a capacidade de gerir chamadas, mesmo que isso não corresponda à finalidade declarada.
- Na verdade, qualquer pedido de acesso às funcionalidades de acessibilidade deve ser tratado com cautela. Se uma aplicação que não seja claramente uma ferramenta de acessibilidade solicitar esse acesso, recuse o pedido e reconsidere se confia na fonte.
- Analise atentamente os ecrãs de início de sessão de serviços bancários e de criptomoedas. Se algo parecer estranho ou se aparecerem vários pedidos de início de sessão, feche a aplicação e volte a abri-la a partir do ícone oficial.
Os burlões sabem mais sobre si do que pensa.
Mobile Security Malwarebytes Mobile Security contra phishing, mensagens fraudulentas, sites maliciosos e muito mais. Com o Scam Guard integrado, alimentado por IA e em tempo real.
