Um novo vírus rouba senhas de 217 banco e silencia seu celular pra você não ver o golpe

217 aplicativos de banco e de carteira de criptomoeda na mira. 137 comandos diferentes que o invasor dispara de longe, sem encostar no aparelho. Um vírus para Android chamado Rokarolla, descoberto pela equipe zLabs da empresa de segurança Zimperium, é o tipo de praga que faz o seu próprio celular trabalhar contra você sem pedir licença.

Antes do pânico, uma boa notícia: ele não está na Play Store. A Zimperium não encontrou o Rokarolla na loja oficial do Android, então ninguém pega isso baixando app do jeito normal. A parte ruim é como ele entra. O vírus se espalha por sites falsos que imitam o download do Google Chrome ou do TikTok. Você clica num link, baixa um arquivo .apk (o formato de instalação de apps do Android, que pode ser instalado por fora da loja) e abre a porta sozinho.

O app que finge ser antivírus pra instalar o vírus

O que você instala primeiro nem é a praga inteira. É um dropper, um app isca pequeno e de aparência inofensiva cuja única função é baixar o resto depois. E o disfarce dele é cínico: ele se passa por uma “ferramenta de segurança do Google Play Protect”. Ou seja, o golpe se veste de antivírus pra te convencer a instalar o vírus de verdade logo na sequência.

Vale explicar o nome técnico disso, porque ele vai aparecer toda semana: Rokarolla é um trojan, ou cavalo de troia, o tipo de vírus que se disfarça de programa legítimo pra que você mesmo abra a porta. Ninguém invade nada à força. Você é convidado a deixar entrar.

A permissão de Acessibilidade é o pulo do gato

O coração do ataque é uma permissão que quase ninguém entende: os Serviços de Acessibilidade. É um recurso legítimo do Android, criado pra ajudar pessoas com deficiência, que autoriza um app a ler o que está na tela e a tocar nos botões no seu lugar. Num leitor de tela pra quem não enxerga, isso é essencial e transforma vidas. Nas mãos do Rokarolla, vira um controle remoto com acesso total ao aparelho. No segundo em que ele pede essa permissão e você toca em “permitir”, o jogo virou.

Com a Acessibilidade liberada, o que ele consegue fazer assusta:

• Telas falsas e keylogger: quando você abre o app do banco, ele joga uma tela idêntica por cima pra você digitar a senha ali, achando que é o app verdadeiro, e ainda registra cada tecla que você aperta.
• Interceptação de SMS e ligação: ele se torna o app padrão de mensagens e de chamadas, então lê o código que o banco manda por SMS (a tal verificação em duas etapas, aquele número de uso único) e bloqueia ligações, deixando o aparelho no silencioso pra você não escutar o alerta de fraude do banco.
• Vigilância da tela: tira prints com data e hora e transmite imagens do que você está vendo, em tempo real.
• Sequestro da área de transferência: se você copia o endereço de uma carteira de cripto pra fazer uma transferência, ele troca pelo endereço do golpista no momento de colar.
• Desliga o Google Play Protect e some com o próprio ícone, pra apagar o rastro e seguir agindo escondido.

Esses 137 comandos remotos são o que separa o Rokarolla de um trojan comum. Em vez de fazer uma coisa só e fugir, ele fica residente, esperando ordem: hoje captura a senha, amanhã esvazia a conta, depois grava a tela. É o que a indústria de segurança chama de device takeover, o controle completo do aparelho. Na prática, o celular continua na sua mão, mas quem decide o que ele faz está do outro lado do mundo.

O seu banco brasileiro está na lista? A pergunta errada

A Zimperium não revelou quais países estão na mira, e os 217 apps incluem instituições do mundo todo, então não dá pra cravar que o seu banco está na lista. Só que isso quase não muda nada. A receita é exatamente a mesma que já roda por aqui: app falso, abuso de Acessibilidade, roubo do código de SMS. Foi assim que o golpe do falso WhatsApp disparado por SMS da operadora funcionou no Brasil, e é o padrão da maioria dos trojans bancários. A parte frágil é o modelo de permissão do Android, que confia demais num toque seu, somado ao hábito nosso de clicar em “permitir” no piloto automático. O sistema operacional faz a parte dele; o dedo apressado é que entrega o ouro.

Quem usa o celular pra abrir o banco (ou seja, todo mundo) precisa só de alguns reflexos novos. Não dá trabalho:

• Não instale .apk vindo de link que chegou por mensagem, anúncio ou site aleatório. Banco e app sério moram na Play Store, ponto.
• Quando um app pedir Acessibilidade, desconfie na hora. Calculadora, joguinho e “ferramenta de segurança” não têm motivo nenhum pra ler sua tela inteira. Em Configurações, Acessibilidade, dá pra ver tudo que está ativado e desligar o que não reconhece.
• Mantenha o Google Play Protect ligado. Se ele apareceu desativado sem você ter mexido, trate como sinal de invasão, não como bug.
• Fique de olho em comportamento estranho: celular que se recusa a desligar, tela que não apaga sozinha, ligação que some antes de tocar. São sintomas clássicos de que tem alguém no comando.

E se você já desconfia que caiu? Não tente resolver pelo próprio celular, porque ele pode estar sendo vigiado em tempo real. Coloque o aparelho em modo avião primeiro, pra cortar o controle remoto na hora. Troque as senhas do banco de outro dispositivo, de preferência um computador, e ligue pra central da sua instituição avisando. Pra desinstalar o intruso, reinicie o celular em modo de segurança, aquele que sobe só com os apps de fábrica e impede o vírus de carregar junto, e aí remova o que você não reconhece. Em último caso, um reset de fábrica limpa tudo.

O Rokarolla é sofisticado, com a vigilância em tempo real e o arsenal de comandos, mas a porta de entrada continua sendo a mais velha do mundo: alguém clicou onde não devia e disse “sim” pra uma permissão que não entendia. Atualizar o sistema ajuda, antivírus ajuda, mas o filtro que mais segura golpe nenhum app instala por você. É o seu dedo, parado um segundo antes de tocar em “permitir”.