Rokarolla 银行木马

翻译为：

网络安全研究人员发现了一种名为 Rokarolla 的新型安卓银行木马，其名称源于其命令与控制 (C2) 基础设施。该恶意软件旨在攻击广泛的金融服务，能够攻击 217 款银行和加密货币应用程序。Rokarolla 配备 137 条远程命令，使网络犯罪分子能够对受感染的设备进行高度控制。

一旦安装，该恶意软件可以移除锁屏保护、拦截和发送短信、篡改剪贴板内容以重定向加密货币转账，甚至可以禁用谷歌内置的安全机制。

Rokarolla 主要通过伪装成合法热门应用程序的恶意网站进行传播，包括 TikTok 和 Google Chrome。

受害者首先会下载一个伪装成 Google Play Protect 的投放器应用。该投放器利用其可信的外观，诱骗用户授予辅助功能服务权限，从而安装恶意程序。执行后，Rokarolla 的某条指令会立即禁用 Play Protect，从而破坏 Android 系统的重要安全层。

凭证窃取是通过复杂的叠加攻击实现的。Rokarolla 从其控制服务器获取目标应用程序列表，并下载与这些应用程序对应的欺诈性 HTML 登录页面。这些伪造的界面存储在本地，并在受害者打开合法的银行或加密货币应用程序时显示。

这些虚假屏幕旨在捕获用户输入的所有信息，包括用户名、密码和支付卡详细信息。研究人员观察到一个例子，它逼真地模仿了银行应用程序“imagin”。

该恶意软件还会部署一个伪造的安卓锁屏界面，能够窃取PIN码、图案和密码。即使设备处于锁定状态，攻击者也能利用此功能保持对设备的访问和控制。

Rokarolla 结合了多种监控和盗窃机制，以最大限度地收集数据和获取经济利益：

集成的键盘记录和屏幕记录功能会捕获用户活动，同时还会持续收集联系人和通知。

通过篡改剪贴板，攻击者可以悄无声息地将复制的加密货币钱包地址替换为攻击者控制的地址，从而在受害者不知情的情况下转移资金。

与许多依赖 MediaProjection 进行屏幕录制的 Android 恶意软件家族不同，Rokarolla 采用了一种更为隐蔽的监视策略。它不会触发可见的录制通知，而是通过辅助功能服务捕获屏幕截图，将其压缩成 PNG 文件，然后逐个发送给其操控者。

这种方法降低了被检测到的可能性，同时仍然能够让攻击者详细了解用户活动。与 HOOK 和 Klopatra 等恶意软件家族使用的隐藏式 VNC 实现相比，Rokarolla 基于屏幕截图的监控方式既简单又隐蔽。

该恶意软件的设计旨在抵御各种干扰。其代码中嵌入了多个备份命令与控制域，操作人员可以根据需要动态分配额外的服务器。因此，禁用单个命令服务器对整体运行的影响微乎其微。

其庞大的命令集超过了之前在 HOOK 银行木马中记录的 107 条命令，反映出 2026 年 Android 银行恶意软件日益复杂化。攻击方法遵循一种越来越常见的熟悉模式：

由于 Rokarolla 是恶意软件而非软件漏洞，因此没有安全补丁可以彻底消除该威胁。防护措施主要依赖于遵循既定的 Android 安全实践。

应用程序应仅从官方 Google Play 商店安装，Google Play Protect 应始终保持启用状态，任何意外的辅助功能权限请求都应视为重大警告信号。辅助功能访问权限是 Rokarolla 攻击链的基础，并使其许多最危险的功能得以实现。

截至发稿时，Rokarolla 尚未与任何已公开确认的威胁行为者或网络犯罪组织有关联。然而，其设计显然蓄意绕过安卓用户被鼓励信任的各种保护措施，包括 Play Protect、锁屏保护和其他内置安全控制。

该恶意软件的功能凸显了安卓银行木马的不断演变以及以经济利益为目的的移动威胁日益复杂的趋势。

搜索