文章总结： 一款名为Rokarolla的新型安卓银行木马正通过伪装成Chrome更新或TikTok破解版的应用传播。该木马利用无障碍服务权限，可远程关闭GooglePlayProtect，并针对217个银行及加密钱包应用实施动态HTML覆盖攻击，窃取登录凭证、PIN码及短信验证码。其内置137条远程控制指令，支持截屏、键盘记录、剪贴板劫持等功能，且采用多备用C2域名机制。防御建议包括仅从官方商店下载应用、保持PlayProtect开启、警惕无障碍权限请求。 综合评分： 87 文章分类： 恶意软件,移动安全,应用安全,终端安全,威胁情报

这款恶意软件能偷PIN码、截银行短信，还能关掉Google保护

看雪学苑 看雪学苑

看雪学苑

2026年6月17日 17:59 上海

在小说阅读器读本章

去阅读

如果你的安卓手机最近安装过来路不明的“Chrome更新”或“TikTok破解版”，请立刻检查一下辅助功能权限——因为一款名为 Rokarolla 的新型银行木马，正在通过伪造热门App的钓鱼网站大规模传播。它不是普通的病毒，而是一套完整的“手机控制面板”，让黑客几乎可以为所欲为。

第一步：披着“谷歌保护”外衣的骗局

Rokarolla的入侵从一款投放器（Dropper）开始。这款投放器伪装成谷歌官方的Play Protect安全组件，诱导用户安装。一旦得手，它会立即申请无障碍服务（Accessibility）权限——这是安卓系统给予残障人士的辅助功能，但也是木马最爱的“万能钥匙”。

拿到这个权限后，Rokarolla做的第一件事，就是远程关闭真正的Google Play Protect，让手机彻底失去官方实时扫描保护。此时，恶意负载已经稳稳扎根在系统里。

第二步：覆盖层劫持——你输的每一笔账，都进了黑客口袋

这款木马最“高明”的手法，是动态HTML覆盖攻击。它会从服务器拉取一份包含217个银行和加密钱包App的名单，并针对每个活跃App下载对应的伪造登录页面，存储在本地数据库中。

当你正常打开银行或钱包App时，Rokarolla会在真页面之上弹出一个一模一样的假页面。你输入的卡号、密码、支付验证码，全部实时回传。更隐蔽的是，它还会额外覆盖一个仿冒的安卓锁屏界面，骗你输入PIN码或图案锁——这样即使手机锁着，黑客也能远程解锁操作。

第三步：短信、通话、剪贴板——全线失守

银行交易往往依赖短信验证码，Rokarolla对此早有对策：

• 读取并发送短信：能截获所有一次性验证码，甚至主动发短信；
• 设为默认短信/电话应用：拦截银行打来的风险警告电话，让你完全不知情；
• 键盘记录+屏幕截图：通过无障碍服务定时截屏（避开会弹出提示的录屏API），压缩成PNG图传走，相当于“无声直播”你的每一步操作；
• 剪贴板劫持：当你复制加密货币钱包地址时，它悄悄替换成黑客的地址，一笔转账就可能血本无归。

137条指令，比知名木马HOOK更强大

安全公司Zimperium的zLabs团队统计，Rokarolla内置了多达137条远程控制命令，超过之前肆虐的HOOK木马（107条）。从开关Wi-Fi、拨打电话、安装应用，到清除数据、上传文件，几乎覆盖了手机的所有功能。

而且它的C2（命令控制）服务器采用多备用域名机制，即使封掉一个，也能实时切换到新地址，传统“断网”式拦截效果有限。

为什么没有“补丁”可打？

这是纯粹的恶意软件，谷歌无法通过系统更新来清除它。唯一的防御方式，仍是老生常谈却最有效的几条：

• 只从Google Play官方商店下载应用，拒绝任何第三方网站诱惑；
• 始终保持Play Protect开启，不要因为弹窗提醒就手动关闭；
• 对任何索取“无障碍服务”权限的App保持最高警惕——哪怕是伪装成安全工具，也要立刻拒绝并卸载。

Zimperium表示，其安全产品已能检测该家族，相关入侵指标（IoC）已公开在GitHub仓库中。目前尚未确认Rokarolla归属于哪个黑客组织，但其代码设计明确针对用户最依赖的几道防线——从Play Protect到锁屏密码，全部被逐一击破。

资讯来源：Zimperium zLabs安全研究报告（2026年6月）

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《这款恶意软件能偷PIN码、截银行短信，还能关掉Google保护》