一个名为 Rokarolla 的新型安卓银行木马正在悄然蔓延。它伪装成 TikTok 或 Chrome,通过恶意网站诱导用户安装,一旦得手便能对 217 款银行和加密货币应用发起攻击,实现近乎完全的设备控制。
一、 威胁概览:137 条指令的“超级木马”
安全公司 Zimperium 旗下 zLabs 团队于 2026 年 6 月 17 日披露了这款名为 Rokarolla 的安卓银行木马(名称源自其 C2 服务器)。
| 关键指标 | 数据 |
|---|---|
| 攻击目标 | 217 款银行和加密货币应用 |
| 远程指令 | 137 条 |
| 传播方式 | 伪装成 TikTok / Chrome 的恶意网站 |
| 核心权限 | 无障碍服务(Accessibility) |
137 条指令的数量远超 Zimperium 此前在 HOOK 木马中记录的 107 条,标志着安卓银行木马的攻击能力正在快速升级。
二、 攻击链条拆解:从伪装到完全控制
第一阶段:传播与初始感染
Rokarolla 主要通过恶意网站(如 hxxps://infocontablidades.it.com/)传播,这些网站伪装成 TikTok 或 Google Chrome 的下载页面。
受害者首先安装的是一款伪装成 Google Play Protect 的释放器(Dropper),利用此伪装安装核心恶意载荷,并获取无障碍服务权限。
第二阶段:关闭 Google Play Protect
恶意软件运行后,会立即通过一条指令关闭 Google Play Protect 防护功能,为后续攻击扫清障碍。
第三阶段:叠加层攻击——窃取凭证
这是 Rokarolla 的核心攻击手段:
- 木马从 C2 服务器获取 217 个目标应用列表。
- 为每个标记为“活跃”的应用下载伪造的 HTML 登录页面,存储在本地数据库。
- 当受害者打开真实的银行或钱包应用时,木马立即在顶层覆盖虚假页面,窃取所有输入信息——包括银行卡详情、账户密码等。
- 另一个覆盖层会仿冒安卓锁屏界面,窃取 PIN 码、图形密码或文字密码。
第四阶段:全方位监控与数据窃取
| 功能模块 | 具体能力 |
|---|---|
| 键盘记录器 | 持续记录用户输入 |
| 屏幕记录器 | 通过无障碍功能截屏,压缩为 PNG 逐帧外传 |
| 短信劫持 | 读取所有短信,自主发送消息,拦截银行 OTP |
| 电话拦截 | 设为默认通话应用,拦截来电(含银行风险预警) |
| 剪贴板劫持 | 静默替换加密货币钱包地址,盗取转账资金 |
| 联系人窃取 | 窃取通讯录和 WhatsApp 联系人 |
第五阶段:隐蔽与持久化
为躲避检测,Rokarolla 具备多重反侦察能力:
- 隐藏应用图标
- 禁用设备音频和振动
- 强制屏幕常亮
- 采用 JSONPacker 混淆和加壳技术
- 多个备用 C2 域名,支持动态更新
三、 技术细节:为什么它如此危险?
1. 无障碍服务——整个攻击链的核心驱动
Rokarolla 通过无障碍服务实现:
- 解析屏幕 UI 节点,窃取应用内数据
- 截取屏幕内容
- 模拟用户操作
任何意外的无障碍权限请求都应被视为危险信号。
2. 叠加层攻击的技术实现
传统银行木马使用 MediaProjection 投屏技术(会触发可见的录制提示),而 Rokarolla 改用无障碍功能截屏,这种方式更安静、更难被用户察觉。
3. 指令规模对比
| 木马家族 | 远程指令数 |
|---|---|
| HOOK | 107 条 |
| Rokarolla | 137 条 |
Rokarolla 的指令集覆盖了从初始感染、权限获取、数据窃取到持久化的完整攻击链,体现了高度的模块化和工程化设计。
四、 站长与个人用户安全建议
对于个人用户
- 仅从 Google Play 官方商店安装应用
- 保持 Google Play Protect 开启
- 警惕无障碍权限请求——这是整个攻击链的核心驱动
- 不要点击来源不明的下载链接
关于补丁的说明
需要特别指出的是:Rokarolla 是恶意软件,而非系统漏洞。这意味着不存在“打补丁”式的修复方案。防御措施完全依赖于用户的安全习惯和终端防护产品的检测能力。
对于网站站长
- 如果你的网站提供 APK 下载,请确保下载渠道的安全性
- 定期检查网站是否被植入恶意下载链接
- 部署 Web 应用防火墙(WAF) 拦截恶意流量和钓鱼页面
五、 总结
Rokarolla 代表了 2026 年安卓银行木马攻击的典型模式:虚假应用释放器 + 无障碍服务滥用 + HTML 覆盖层攻击。它通过 137 条远程指令实现对受害者设备的完全控制,从锁屏 PIN 到银行转账,无一幸免。
对于普通用户,最有效的防御不是等待“补丁”,而是培养良好的应用安装习惯,并对无障碍权限保持高度警惕。Zimperium 已在 GitHub 发布了该木马的入侵指标(IoCs),供安全产品检测使用。
主机吧 | 专注网络安全
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让每一次下载都安全,让每一台设备都干净。
