Blog

Rokarolla usa 137 comandos para roubar PIN, SMS e cripto no Android

Escrito por Luiz Claudio | 16/06/2026 18:00:39
Malware

Rokarolla rouba PIN e cripto no Android

Trojan bancário mira 217 apps e pode ler SMS, trocar carteiras e desligar proteções do Google.

Navegacao

O que é o Rokarolla Como o golpe funciona Sinais de alerta Como se proteger Checklist prático

Resumo rapido

O Rokarolla é um trojan bancário para Android documentado pela Zimperium zLabs. Ele mira 217 aplicativos bancários e de criptomoeda, opera com 137 comandos remotos e tenta assumir controle quase total do aparelho. Entre os riscos estão roubo de PIN, leitura e envio de SMS, troca de carteiras copiadas e desativação do Google Play Protect.

Neste artigo voce vai aprender:

  • O que é o Rokarolla e por que ele preocupa usuários de Android.
  • Como o golpe usa páginas falsas sobre apps legítimos.
  • Quais dados podem ser roubados de um celular infectado.
  • Quais sinais podem indicar comportamento suspeito.
  • Medidas práticas para reduzir o risco de infecção.

O que é o Rokarolla

O Rokarolla é um malware para Android dedicado ao roubo de credenciais bancárias e de fundos em criptomoeda. Segundo pesquisadores da Zimperium zLabs, ele mantém uma lista de 217 aplicativos visados, entre apps de bancos e carteiras digitais, e conta com 137 comandos remotos. Na prática, o operador consegue executar quase qualquer ação no aparelho infectado: capturar a senha de bloqueio, ler mensagens SMS, enviar mensagens, gravar a tela e manipular a área de transferência.

O nome Rokarolla vem dos servidores usados para comando e controle. A distribuição acontece por sites maliciosos que se passam por apps conhecidos, como TikTok e Google Chrome, atraindo a vítima a instalar um arquivo fora das lojas oficiais.

Como o golpe funciona

O primeiro app instalado pela vítima é um dropper, ou seja, um programa que prepara o terreno para a infecção. Ele se disfarça de Google Play Protect para convencer a pessoa a conceder permissões críticas, com destaque para o acesso de Acessibilidade do Android. Depois que o malware está ativo, um dos comandos permite desligar o próprio Google Play Protect.

O roubo acontece por meio de telas falsas. Quando a vítima abre um app bancário ou de carteira cripto que está na lista do Rokarolla, o malware sobrepõe uma página falsa ao app verdadeiro. Essa página imita a tela de login e captura tudo o que é digitado, inclusive dados de cartão. O relatório cita um exemplo de página falsa que imita o app bancário imagin.

O Rokarolla também exibe uma tela falsa de bloqueio do Android para capturar PIN, padrão ou senha. Com essas credenciais em mãos, o criminoso pode tentar controlar o aparelho mesmo quando ele está bloqueado.

Sinais de alerta

Nem sempre a vítima percebe a infecção, mas alguns comportamentos devem acender o alerta:

  • pedido inesperado de permissão de Acessibilidade por um app que afirma ser o Google Play Protect;
  • instalação de apps fora da loja oficial, especialmente de sites que prometem TikTok, Google Chrome ou outros apps populares;
  • telas de login com aparência estranha, travamentos ou pedidos repetidos de senha;
  • Google Play Protect desativado sem nenhuma ação do usuário;
  • SMS enviados sem explicação ou chamadas importantes que não chegam;
  • endereço de carteira cripto alterado depois de copiar e colar.

Como se proteger

A defesa mais eficaz é cortar a chance de instalar o app inicial. Não baixe APKs em sites desconhecidos, mesmo quando eles usam nomes conhecidos como TikTok ou Google Chrome. Confirme se o Google Play Protect está ativo e desconfie de qualquer app que peça permissão de Acessibilidade sem necessidade clara.

Para empresas, o risco cresce quando celulares pessoais ou corporativos acessam bancos, carteiras digitais, sistemas internos ou códigos de autenticação por SMS. Políticas de instalação, conscientização dos usuários e monitoramento de dispositivos móveis reduzem a exposição financeira e operacional.

Checklist prático

  1. Revise no Android quais apps têm permissão de Acessibilidade e remova acessos suspeitos.
  2. Confirme se o Google Play Protect está ativo antes de usar apps bancários ou carteiras cripto.
  3. Não instale versões de TikTok, Google Chrome ou outros apps populares baixadas de sites desconhecidos.
  4. Antes de enviar criptomoedas ou um Pix, confira manualmente se o endereço colado é igual ao que você copiou.
  5. Em caso de suspeita, desconecte o aparelho das contas sensíveis, troque as senhas por outro dispositivo confiável e procure suporte especializado.

Perguntas frequentes

O Rokarolla afeta iPhone?

O material analisado descreve o Rokarolla como uma ameaça para Android. Não há indicação, nos trechos disponíveis, de impacto em iPhone.

O Google Play Protect bloqueia automaticamente o Rokarolla?

O Rokarolla tenta se passar pelo Google Play Protect no início da infecção e, uma vez ativo, pode desligar essa proteção por comando remoto. Por isso, o cuidado no momento da instalação é essencial.

Por que o SMS é um alvo tão importante?

Porque muitos bancos usam códigos por SMS para aprovar acessos e transações. Se o malware lê mensagens e ainda pode enviar SMS, o criminoso ganha mais caminhos para concluir fraudes.

Proteja sua empresa com a LC SEC

A LC SEC ajuda empresas a avaliar riscos em dispositivos móveis, fortalecer controles de acesso, treinar usuários e identificar sinais de ameaças como o Rokarolla antes que elas virem prejuízo financeiro.

Falar com especialista

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/06/new-rokarolla-android-malware-steals.html
Visualizar publicação completa