文章总结： Zimperium安全团队发现新型安卓银行木马Rokarolla，该木马针对217款银行和加密货币应用，通过伪装知名应用的恶意网站传播。攻击者利用137条指令可完全控制受感染手机：窃取PIN码、短信、剪贴板内容，并关闭PlayProtect防护。木马采用覆盖攻击技术伪造登录页面窃取凭证，通过无障碍功能截屏监控用户操作。防御建议包括仅从官方应用商店安装应用、保持安全功能开启、警惕无障碍权限请求。 综合评分： 85 文章分类： 恶意软件,移动安全,威胁情报,安全建设,解决方案

新型Rokarolla安卓木马瞄准217款加密与银行应用

FreeBuf

2026年6月17日 19:00 上海

在小说阅读器读本章

去阅读

Zimperium旗下zLabs安全团队发现名为Rokarolla的新型安卓银行木马，该木马针对217款银行和加密货币应用，内置137条远程控制指令。攻击者通过这套指令可近乎完全控制受感染手机：窃取锁屏PIN码、读取发送短信、篡改剪贴板以劫持加密货币转账，并关闭Google Play Protect防护功能。

Part01

传播途径与初始入侵

Rokarolla（名称源自其C2服务器）通过伪装成TikTok、Chrome等知名应用的恶意网站传播。受害者首先安装的是一款伪装成Google Play Protect的释放器程序，该程序利用此伪装安装有效载荷并获取无障碍辅助功能权限。恶意软件运行后，会立即通过指令关闭Play Protect防护。

Part02

覆盖攻击与凭证窃取

该木马采用覆盖攻击技术：从服务器获取目标应用列表后，为每个标记为活跃的应用下载伪造的HTML登录页面并存储于本地数据库。当受害者打开真实的银行或钱包应用时，恶意软件立即在顶层覆盖虚假页面，窃取所有输入信息（包括银行卡详情）。研究报告中展示了模仿银行应用”imagin”的伪造页面实例。

另一覆盖层会仿冒安卓锁屏界面窃取PIN码、图形密码或文字密码，使得攻击者能在设备锁屏状态下持续控制手机。该木马还会读取设备所有短信并自主发送消息，借此截获银行用于验证登录和交易的短信验证码。通过将自己设为默认短信/通话应用，它还能拦截来电（包括银行的风险预警电话）。

Part03

高级监控与数据窃取

键盘记录器和屏幕记录器会捕获用户输入及屏幕内容，同时木马还会窃取通讯录和通知信息。其剪贴板劫持功能会静默替换加密货币钱包地址，导致转账资金流入攻击者账户。

在监控方面，Rokarolla摒弃了会触发可见录制提示的MediaProjection投屏技术，转而通过无障碍功能截屏，将图像压缩为PNG格式后逐帧外传。这种截图方案比Klopatra等家族采用的隐蔽VNC直播更为简单安静。

Part04

持久化与防御建议

该木马配备多个备用C2域名且支持动态更新，使得单点服务器关闭收效甚微。其137条指令数量远超Zimperium在HOOK木马中记录的107条，攻击手法与2026年爆发的安卓银行木马浪潮如出一辙：虚假应用释放器、无障碍功能滥用及HTML覆盖攻击。

由于属于恶意软件而非系统漏洞，目前没有补丁可修复。防御措施遵循安卓银行木马标准应对方案：仅从Google Play安装应用、保持Play Protect开启，并将任何意外的无障碍权限请求视为危险信号——该权限正是整个攻击链的核心驱动。Zimperium表示其产品已能检测该家族，相关入侵指标已发布至GitHub仓库。

研究人员尚未将Rokarolla与已知攻击组织关联。其代码结构显示出明确意图：专门针对用户依赖的核心防护措施（从Play Protect到锁屏）进行突破。

参考来源：

New Rokarolla Android Malware Steals PINs, SMS Codes, and Crypto Wallet Funds

https://www.freebuf.com/news/486357.html

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《新型Rokarolla安卓木马瞄准217款加密与银行应用》