Pesquisadores da zLabs documentam um trojan bancário que se disfarça de Google Play Protect, abusa de Accessibility e usa overlays HTML para capturar PIN, SMS e endereços de pagamento em 217 aplicativos financeiros.
| Componente | Dispositivos Android com trojan bancário Rokarolla; 217 aplicativos bancários e de criptomoedas na lista de alvos; dropper disfarçado de Google Play Protect |
| Vetor | Instalação a partir de sites maliciosos que imitam aplicativos conhecidos (TikTok, Chrome); concessão de permissão de Accessibility ao dropper; overlays HTML baixados do servidor de comando e controle sobre apps legítimos abertos pela vítima |
| Impacto | Captura de credenciais bancárias e de cartão, PIN ou padrão de bloqueio, códigos OTP por SMS, substituição silenciosa de endereços de carteira na área de transferência, envio de SMS pelo malware, bloqueio de chamadas recebidas, capturas de tela via Accessibility e desativação do Google Play Protect |
| Prioridade | Bloquear instalações fora de lojas oficiais, tratar pedidos inesperados de Accessibility como alerta crítico, manter Play Protect ativo, auditar apps padrão de SMS e telefone, revisar permissões de apps financeiros e monitorar overlays e tráfego para infraestrutura C2 |
| Artefatos | Dropper com identidade falsa de Google Play Protect; páginas HTML de login falsas armazenadas em banco local; exemplos de overlay imitando o app bancário imagin e a tela de bloqueio do Android; capturas PNG enviadas frame a frame |
| Mitigação | Instalar somente pela Google Play, não conceder Accessibility a instaladores desconhecidos, validar endereços de destino antes de transferências cripto, investigar desativação súbita do Play Protect e consultar indicadores publicados pela zLabs em repositório GitHub |
A zLabs, braço de pesquisa da Zimperium, documentou o Rokarolla, um novo trojan bancário para Android nomeado com base nos servidores de comando e controle observados na campanha. A família concentra 137 comandos remotos, volume superior aos 107 registrados no trojan HOOK pela mesma equipe, e orienta a operação contra 217 aplicativos bancários e de criptomoedas. O conjunto de instruções remoto permite ao operador obter controle operacional amplo sobre o aparelho comprometido, incluindo leitura e envio de SMS, captura de PIN ou senha de bloqueio, reescrita da área de transferência para desviar pagamentos em criptoativos e desligamento do Google Play Protect.
A distribuição ocorre por sites maliciosos que se apresentam como instaladores de aplicativos populares, entre eles TikTok e Chrome. O primeiro artefato instalado funciona como dropper e imita o Google Play Protect para induzir a instalação do payload e a concessão de acesso por Accessibility. Após a execução, um dos comandos desativa explicitamente o Play Protect, enfraquecendo uma camada de defesa que costuma ser recomendada a usuários finais. O roubo de credenciais e dados financeiros não depende de falha de produto: trata-se de abuso de permissões, sobreposição visual e coleta ativa de entrada do usuário.
O relatório descreve o Rokarolla como parte de uma onda de bankers Android observada em 2026, repetindo o roteiro de droppers que imitam apps conhecidos, abuso de Accessibility e overlays HTML. A pesquisa não atribui a campanha a um grupo nomeado, mas destaca a intenção técnica de contornar proteções habituais, desde o antivírus integrado da loja até o bloqueio de tela. A Zimperium informa detecção da família em seus produtos e disponibiliza indicadores de comprometimento em repositório público no GitHub, embora o material analisado não traga hashes, domínios ou endereços específicos para reprodução direta.
A cadeia começa fora da Google Play. A vítima obtém um pacote a partir de uma página que simula distribuição legítima de software conhecido. O dropper inicial assume a identidade visual e funcional do Google Play Protect, o que reduz desconfiança durante a instalação e prepara o terreno para solicitar Accessibility, permissão central na operação porque habilita interação automatizada com a interface, leitura de conteúdo exibido e, no caso do Rokarolla, captura de tela sem o fluxo visível associado ao MediaProjection.
Com Accessibility ativo, o trojan consulta o servidor de comando e controle para receber a lista de alvos. Para cada aplicativo financeiro marcado como ativo no dispositivo, o malware baixa uma página HTML falsa de autenticação, persiste o material em banco de dados local e aguarda a abertura do app legítimo correspondente. No momento em que o usuário inicia o aplicativo bancário ou de carteira real, o Rokarolla sobrepõe a página falsa e registra tudo digitado, incluindo dados de cartão quando solicitados pelo formulário imitado. O relatório cita overlay que reproduz o aplicativo bancário imagin como exemplo concreto desse mecanismo.
Em paralelo, outro overlay imita a tela de bloqueio do Android para registrar PIN, padrão ou senha. Esse passo amplia a persistência operacional do atacante porque permite manipular o telefone mesmo com a tela bloqueada após a captura. A coleta de SMS cobre todas as mensagens existentes e inclui capacidade de envio, o que viabiliza interceptação de códigos de uso único usados por bancos para aprovar login e transações. Ao tornar-se aplicativo padrão para mensagens e chamadas, o trojan também pode bloquear ligações recebidas, impedindo que alertas telefônicos de instituições financeiras cheguem à vítima durante a fraude.
Além dos overlays, o Rokarolla incorpora keylogger, registrador de tela, varredura de contatos e leitura de notificações. Para pagamentos em criptomoedas, monitora a área de transferência e substitui silenciosamente endereços copiados pelo usuário, desviando transferências para carteiras controladas pelo operador. Na vigilância visual, evita o MediaProjection, que exibe aviso perceptível de gravação, e captura screenshots por Accessibility, comprime em PNG e exfiltra quadro a quadro. Esse método é descrito como mais simples e discreto do que transmissão contínua oculta do tipo observado em famílias como Klopatra.
A resiliência de comando e controle inclui múltiplos domínios de fallback e capacidade de receber novos endereços dinamicamente, o que limita o efeito de retirar um único servidor da operação. Os 137 comandos remotos cobrem desativação de defesas, coleta, sobreposição, comunicação e persistência operacional, configurando um banker orientado a maximizar retorno financeiro por dispositivo infectado.
O foco principal são smartphones Android em que o usuário instalou software fora de canais confiáveis e concedeu Accessibility a um dropper disfarçado. A lista de alvos abrange 217 apps bancários e de criptomoedas; o impacto concreto depende de quais desses pacotes estão presentes e em uso no aparelho comprometido.
Usuários que dependem de OTP por SMS, autenticação visual por app bancário ou transferências via endereço copiado para carteira cripto ficam especialmente expostos às capacidades descritas. Instituições cujos clientes utilizam Android fora de políticas corporativas de instalação também herdam o risco indireto de fraude originada no endpoint móvel.
- 217 aplicativos bancários e de criptomoedas listados como alvos potenciais pelo malware
- Dispositivos com Accessibility concedido ao dropper que imita Google Play Protect
- Contas e transações protegidas por SMS OTP, credenciais digitadas em overlays e endereços colados na área de transferência
- Google Play Protect desativado após infecção, reduzindo verificação automática de apps maliciosos
A detecção deve combinar sinais de instalação lateral, permissões de alto risco e comportamento típico de banker Android. Como o Rokarolla imita proteções legítimas e opera por overlays, equipes de resposta móvel precisam correlacionar pedidos de Accessibility com origem de pacote, presença de HTML armazenado localmente e tráfego periódico para infraestrutura de comando e controle com domínios substituíveis.
Logs de SMS e telefonia no dispositivo podem revelar aplicativo não oficial assumindo função padrão, envio de mensagens sem ação explícita do usuário ou bloqueio de chamadas recebidas. Em ambientes corporativos com EDR móvel ou MTD, procurar desativação do Play Protect, capturas frequentes associadas a serviços de Accessibility, e abertura de apps financeiros seguida imediatamente por atividade de WebView ou overlay de tela cheia.
A pesquisa original indica que a Zimperium publicou indicadores de comprometimento em repositório GitHub; organizações devem ingerir esses artefatos em plataformas de inteligência e regras internas, sem depender de listas extensas replicadas em materiais públicos. Na ausência de IoCs específicos no recorte analisado, o hunting deve priorizar classes de comportamento: dropper com nome ou ícone de Play Protect, overlays HTML sincronizados com apps financeiros instalados, e exfiltração de imagens PNG sequenciais.
- Pedido de Accessibility logo após instalação de app que se identifica como Google Play Protect
- Play Protect desativado ou alertas de verificação de segurança suprimidos após nova instalação
- App desconhecido definido como padrão para SMS e chamadas, com bloqueio de ligações recebidas
- Abertura de app bancário ou de carteira seguida de camada visual adicional que solicita credenciais ou dados de cartão
- Tráfego recorrente para múltiplos domínios de comando e controle com possibilidade de troca dinâmica de destinos
- Sequência de capturas de tela exportadas em PNG sem prompt visível de gravação de tela
Não existe correção de software para eliminar o Rokarolla como se fosse vulnerabilidade de plataforma. A resposta depende de prevenção na origem, remoção do comprometimento e reforço das práticas que o próprio relatório identifica como alvo do atacante. Qualquer solicitação inesperada de Accessibility após instalar um suposto verificador ou atualizador deve ser tratada como indicador forte de banker, porque essa permissão sustenta overlays, captura de tela silenciosa e automação hostil.
Após suspeita ou confirmação, o dispositivo deve ser isolado da rede móvel e Wi-Fi, revisado por ferramenta confiável de segurança móvel ou processo forense equivalente, e restaurado a estado limpo quando a persistência não puder ser removida com segurança. Contas bancárias e de exchange acessadas no período de exposição exigem troca de credenciais, invalidação de sessões, revisão de transações e contato com a instituição para bloqueio preventivo. Transferências cripto iniciadas enquanto o malware estava ativo devem ser verificadas quanto a substituição de endereço na área de transferência.
Organizações devem restringir instalação de apps a lojas aprovadas, bloquear sideloading em perfis corporativos quando a política permitir, e monitorar indicadores publicados pela zLabs. Treinamento de usuários deve enfatizar que Google Play Protect legítimo não exige instalação separada a partir de site externo nem pede Accessibility para funcionar.
- Permitir instalação apenas pela Google Play ou canal corporativo aprovado e bloquear páginas que imitam TikTok, Chrome ou outras marcas conhecidas
- Manter Google Play Protect ativo e investigar imediatamente qualquer app que tente desativá-lo
- Recusar Accessibility a instaladores desconhecidos, especialmente os que imitam ferramentas de segurança da Google
- Auditar apps padrão de SMS e telefone e restaurar apps legítimos se houver substituição não autorizada
- Validar manualmente endereços de destino em transferências cripto, sem confiar apenas no valor colado
- Ingerir IoCs da zLabs em plataformas internas de detecção e correlacionar com alertas de overlays e exfiltração PNG
0 Comentários