A empresa de segurança móvel Zimperium identificou recentemente um novo cavalo de troia bancário para Android. O malware foi batizado de Rokarolla pela equipe de pesquisa zLabs, responsável pela descoberta. Ele já foi visto atacando 217 aplicativos diferentes de bancos e carteiras de criptomoedas em celulares Android.
O nome do vírus vem da infraestrutura de comando e controle, ou C&C, usada pelos criminosos para enviar instruções aos aparelhos infectados. Segundo os pesquisadores, o Rokarolla é incomum porque une fraude financeira com vigilância total do celular.
Vírus se disfarça de TikTok e Chrome para infectar o celular
O ataque começa quando a vítima acessa um site malicioso, como o infocontablidades[.]it[.]com. Essas páginas escondem o malware dentro de arquivos que imitam aplicativos populares, como TikTok ou Google Chrome.
Ao baixar o arquivo, um segundo malware é instalado primeiro. Esse dropper se disfarça de ferramenta de segurança do Google Play Protect. É ele quem convence a vítima a instalar o vírus principal.
Malware usa recursos de acessibilidade para assumir o controle da tela
Depois de instalado, o Rokarolla pede permissão para usar os Serviços de Acessibilidade do Android. Esses recursos foram criados para ajudar pessoas com deficiência a usar o celular.
O malware aproveita essa permissão para monitorar a tela e capturar coordenadas de toque sem que o usuário perceba. Ele também se torna o aplicativo padrão de SMS e de chamadas, o que permite interceptar mensagens e ligações sem interrupção.
Quando a vítima abre um aplicativo financeiro legítimo, o Rokarolla consulta o servidor dos criminosos. Ele busca uma página de phishing em HTML e exibe essa tela falsa por cima do aplicativo verdadeiro.
A mesma técnica é usada na tela de bloqueio do celular. O malware mostra um pedido de PIN falso sobre a tela de bloqueio real para capturar a senha de desbloqueio do aparelho.
Trojan tem 137 comandos e grava a tela em segredo
Os pesquisadores identificaram 137 comandos diferentes que o Rokarolla pode executar no celular infectado. Um keylogger e um leitor de interface automatizados permitem ao malware ler mensagens de texto e copiar listas de contatos do WhatsApp. Ele também registra tudo o que é digitado e tira capturas de tela.
O vírus usa ainda uma técnica batizada de Pseudo-VNC. Ela basicamente grava a tela do celular em pequenos snapshots para monitorar a vítima sem ser percebida. Outra função é o sequestro da área de transferência, que troca o endereço de uma carteira de criptomoeda colado pela vítima durante uma transferência.
Malware bloqueia ligações para impedir alertas de fraude do banco
Para continuar agindo sem ser notado, o Rokarolla bloqueia chamadas recebidas e deixa o celular no modo silencioso. Isso porque, sem som e sem conseguir atender ligações, a vítima não escuta os alertas de fraude enviados pelo banco.
O malware também desativa as varreduras reais do Google Play Protect. Ele ainda força a tela do celular a ficar sempre acesa, para que suas ações em segundo plano nunca sejam interrompidas.
Especialista aponta crescimento das ameaças móveis
Randolph Barr, diretor de segurança da informação da Cequence Security, empresa de segurança de API com sede em São Francisco, afirmou que o cenário de ameaças móveis continua crescendo. Segundo ele, somente em 2024 mais de 4 milhões de ataques de engenharia social tiveram celulares como alvo. Cerca de 33 milhões de incidentes de malware ou adware também foram bloqueados em dispositivos móveis no mesmo período.
Barr destacou ainda que empresas e provedores de serviço criam uma camada extra de risco. Cada pedido de validação de dados é um novo ponto de integração que pode ser explorado por criminosos. Isso acontece principalmente porque muitas empresas não têm o mesmo nível de maturidade em segurança que sistemas governamentais.
Especialistas recomendam evitar links e arquivos de fontes desconhecidas
Os pesquisadores da Zimperium recomendam evitar baixar arquivos a partir de links de terceiros ou anúncios pop-up. Também é importante negar pedidos de acesso aos Serviços de Acessibilidade vindos de aplicativos não verificados.
Outro sinal de alerta é o comportamento estranho na tela do celular, como o aparelho se recusar a desligar ou apagar a tela. Esse tipo de falha pode indicar que o dispositivo já está infectado.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.