Há um novo programa malicioso para Android que, depois de instalado, faz quase tudo o que tu fazes no telemóvel, e mais um pouco: lê os teus SMS, copia os códigos que o banco envia para confirmar pagamentos, fotografa o ecrã e troca o endereço da carteira quando tentas enviar criptomoedas. Chama-se Rokarolla, tem como alvo 217 aplicações de bancos e de cripto, e traz 137 comandos para ser operado à distância.
O que assusta neste caso não é a sofisticação do código, mas a simplicidade da entrada. O Rokarolla não arromba o teu banco nem quebra a cifra de ninguém: pede-te uma permissão e conta que lha dês. A peça-chave é uma função do próprio Android, os Serviços de Acessibilidade, criados para ajudar quem tem dificuldade em usar o telemóvel. Concedida à app errada, essa mesma função passa a ler o ecrã, a tocar nos botões e a preencher campos por ti.
O caso foi documentado pelos investigadores da Zimperium, num relatório publicado a 16 de junho. Para entrar, o Rokarolla usa um disfarce com sentido de ironia: chega através de sites que se fazem passar por apps conhecidas, como o TikTok ou o Chrome, e a primeira coisa que a vítima instala é um isco que imita o Google Play Protect, o próprio antivírus que vem no Android. É esse falso protetor que instala o resto e arranca a tal permissão de acessibilidade.
A partir daí, o telemóvel deixa de ser teu. Quando abres a app verdadeira do banco, o Rokarolla sobrepõe-lhe uma página de login falsa, copiada do original, e guarda tudo o que lá escreves, número de cartão incluído. Outra janela falsa imita o ecrã de bloqueio para lhe entregar o PIN, o que dá ao atacante controlo do aparelho mesmo trancado.
Lê e envia SMS, por isso fica com os códigos de uso único que o banco manda; e, ao tornar-se a app por defeito para mensagens e chamadas, chega a bloquear a chamada de aviso do banco para que nunca te chegue. Regista o que escreves, fotografa o ecrã imagem a imagem para não disparar o aviso de gravação, desativa o Google Play Protect e copia os teus contactos. E quando copias o endereço de uma carteira de cripto para o colar, troca-o em silêncio pelo do atacante.
Porque o código que recebes por SMS já não é um escudo
Aqui está o ponto que mais nos toca. O segundo fator de autenticação por SMS, aquele código de uso único que o banco manda para confirmar quem és, parte de uma ideia simples: mesmo que te roubem a palavra-passe, falta-lhes o código que só chega ao teu telemóvel. O Rokarolla desfaz essa ideia, porque vive dentro do telemóvel que recebe o código. Quando o ladrão controla o aparelho que devia provar que és tu, o segundo fator deixa de ser um segundo fator.
E não é um caso isolado. A Zimperium nota que o Rokarolla segue a mesma cartilha de uma vaga de trojans bancários para Android em 2026, os programas que se disfarçam de apps de confiança: iscos que imitam apps reais, abuso da Acessibilidade e páginas falsas por cima das verdadeiras. É por causa desta vaga que a Google está a introduzir a verificação obrigatória da identidade dos programadores, que passa a impedir a instalação de apps de origem não verificada (primeiro em alguns países, em 2026, e em todo o mundo a partir de 2027). O telemóvel tornou-se o cofre onde guardamos o banco, a identidade e o dinheiro; é natural que seja para aí que os ladrões apontam.
Como te proteges
Não há aqui correção para instalar, porque isto não é uma falha de software, é malware. A defesa não exige conhecimentos técnicos, exige um par de hábitos:
- Instala apps só pela loja oficial. Um site que te pede para «atualizar o Chrome» ou «instalar o TikTok» por fora da Play Store é, quase sempre, a porta de entrada.
- Desconfia de qualquer pedido de Acessibilidade. Pouquíssimas apps legítimas precisam dela; se uma app comum a pede, recusa e desinstala.
- Larga o segundo fator por SMS onde puderes. Uma app autenticadora ou uma chave de acesso (passkey) não chegam por mensagem nem se copiam com a mesma facilidade.
- Confirma o endereço antes de enviar cripto. Verifica os primeiros e os últimos carateres depois de colar; é aí que a troca acontece.
- Mantém o Play Protect ligado e o telemóvel atualizado. Se algo o tentar desativar, trata isso como um alarme, não como um detalhe.
Há uma lição incómoda no centro desta história. O Rokarolla foi montado de propósito para derrotar exatamente as proteções que nos dizem para usar, do antivírus do telemóvel à fechadura do ecrã. A sua arma mais forte não foi um truque genial, foi a permissão que conta receber de ti. É esse toque que vale a pena pensar duas vezes.
Fonte original: Zimperium zLabs.
#StaySafe
🙏🖖
