新型 Rokarolla Android 恶意软件窃取 PIN 码、短信验证码和加密钱包资金

Zimperium 的 zLabs 安全研究人员记录了一种新的 Android 银行木马 Rokarolla，该木马针对 217 个银行和加密货币应用程序，并包含 137 条远程命令。

这些功能加在一起，使操作者几乎可以完全控制受感染的手机：它能够获取锁屏 PIN 码、读取和发送短信、重写剪贴板以重定向加密货币支付，并关闭 Google Play Protect。

Rokarolla 以其命令与控制服务器命名，通过冒充 TikTok 和 Chrome 等知名应用的恶意网站进行传播。

受害者首先安装的是一个伪装成 Google Play Protect 的 dropper。它利用这一伪装来安装 payload 并获取 Accessibility 权限。一旦恶意软件运行，其一条命令就会关闭 Play Protect。

窃取行为通过覆盖层进行。Rokarolla 从其服务器拉取目标列表，对于每个标记为活跃的应用，它会下载一个虚假的 HTML 登录页面并存储在本地数据库中。当受害者打开真实的银行或钱包应用时，恶意软件会在其上方覆盖虚假页面，并捕获输入的所有内容，包括银行卡详细信息。

报告显示了一个模仿银行应用 'imagin' 的虚假页面。另一个独立的覆盖层模仿 Android 锁屏以捕获 PIN 码、图案或密码，使操作者即使在手机锁定时也能控制手机。

它读取设备上的每条短信，并可以自行发送消息，这足以获取银行用于批准登录和交易的一次性短信验证码。通过将自身设为手机短信和通话的默认应用，它还可以拦截来电，因此来自银行的警告电话永远无法接通。

键盘记录器和屏幕记录器记录用户输入和查看的内容，该木马还会抓取通讯录并读取通知。剪贴板被静默重写，替换为攻击者的钱包地址，因此复制的加密货币支付会转入错误的账户。

在监控方面，Rokarolla 跳过了通常的 MediaProjection 屏幕投射（这会弹出可见的录制提示），而是通过 Accessibility 截取屏幕截图，压缩为 PNG 格式，并逐帧发送出去。这种快照方法比 Klopatra 等家族中看到的实时隐藏 VNC 更简单且更隐蔽。

该恶意软件携带多个备用 C2 域名，并且可以即时获取新的域名，因此关闭单个服务器收效甚微。其 137 条命令数量超过了 Zimperium 在 HOOK 木马中统计的 107 条，其攻击模式与 2026 年一波 Android 银行木马相同：虚假应用 dropper、滥用 Accessibility 和 HTML 覆盖层。

这里没有需要应用的补丁。这是恶意软件，而非产品缺陷，因此防御措施是 Android 银行木马的标准做法。仅从 Google Play 安装应用，保持 Play Protect 开启，并将任何意外的 Accessibility 请求视为危险信号，因为这一权限驱动了整个攻击链。

Zimperium 表示其自身产品可检测到该家族，危害指标 (IoC) 已发布在其 GitHub 仓库中。

Zimperium 未将 Rokarolla 与某个命名组织联系起来。该恶意软件构建显示出的意图是：一个银行木马被设计用来击败用户被告知要依赖的精确保护措施，从 Play Protect 到锁屏界面。