Rokarolla 新型 Android 木马:217款银行与加密应用沦为目标
作者 Mag-Info Tech editorial · 2026-06-17
Rokarolla 是一款新近曝光的 Android 木马,已被用于针对至少 217 款银行与加密货币应用展开攻击。该恶意软件通过伪装成 Google Chrome 或 TikTok 的下载页面进行传播,并利用 137 条指令实现全面设备控制与数据窃取。研究人员指出,Rokarolla 在安装时会冒充 Android 内置的 Google Play Protect,诱导用户授予 Accessibility 权限与通知、短信、通话等敏感权限。一旦获得控制权,它即可持续记录用户输入、窃取锁屏凭据,并通过假登录框盗取金融账户信息。对于这类高危木马,用户与企业应如何应对?
Rokarolla 的核心功能:从设备控制到金融窃取
Rokarolla 的核心目标是窃取金融数据。根据安全厂商 Zimperium 的分析,该木马在感染设备后会立即与其命令控制服务器(C2)建立通信,并上传一份设备基本信息作为唯一标识符,包括手机型号、Android 版本、语言区域、屏幕尺寸、电池状态、存储空间与可用内存等。这些数据用于为每个受害者生成专属标识,从而精准投放后续攻击载荷。在确认设备已被成功控制后,Rokarolla 会检查设备上已安装的应用列表,并与其内置的 217 个目标应用名单进行匹配。一旦发现匹配项,木马会立即下载与该应用对应的钓鱼覆盖层(phishing overlay),并在用户打开目标应用时弹出虚假登录界面。这些假界面不仅能窃取用户名、密码与信用卡信息,还能记录锁屏 PIN 或图案解锁密码,从而进一步绕过设备安全机制。
除了金融窃取,Rokarolla 还具备多种系统级操控能力。它会主动关闭 Google Play Protect,隐藏自身图标以避免被用户发现,并在必要时通过假的“安装中”界面掩盖恶意活动。为防止用户察觉,木马还会静音并关闭振动,同时强制保持屏幕常亮。在权限滥用方面,Rokarolla 会持续请求 Accessibility 服务权限,以便模拟用户操作、绕过安全检查,并获取通知、短信与通话记录的访问权。研究人员在 GitHub 上公开了 Rokarolla 的 137 条指令清单,涵盖数据窃取、设备控制、权限管理与反制策略等多个模块,进一步揭示了其高度模块化与可扩展的设计理念。这种复杂的指令集意味着攻击者可随时更新木马功能,以应对安全厂商的检测与防护措施。
感染链条:从伪装下载到权限劫持
Rokarolla 的主要传播渠道是恶意网站。攻击者通过 SEO 欺骗与社交工程手段,诱使用户点击伪装成官方下载页面的链接,例如冒充 Google Chrome 或 TikTok 的安装包。在这些页面中,用户会被提示“安装 Google Play Protect”或“更新系统组件”,实则下载的是携带 Rokarolla 的 APK 包。在安装过程中,恶意应用会冒充系统安全组件,要求用户授予一系列高权限。例如,它会以“保护设备安全”为由,请求 Accessibility 服务权限,并解释称需要这些权限来“优化用户体验”。一旦用户授予权限,Rokarolla 即可在后台持续运行,并通过模拟点击与输入来自动执行恶意操作。
在获取初始权限后,Rokarolla 会进一步扩大攻击面。它会静默启用短信与通话监控功能,以截取双因素认证码(2FA)短信或语音验证信息。同时,木马会利用 Accessibility 服务的无障碍功能,绕过 Android 的权限提示,自动点击“确认”按钮,从而静默安装额外的恶意模块。这种“权限劫持”手法使得 Rokarolla 能够在用户毫不知情的情况下,持续窃取敏感数据并执行远程指令。根据 Zimperium 的报告,该木马的指令集还支持通过 C2 服务器下发新的攻击模块,这意味着攻击者可根据受害者的设备类型、地理位置或目标应用动态调整攻击策略。
目标范围:银行与加密应用成重灾区
Rokarolla 的目标列表涵盖全球多家知名银行与加密货币交易平台的官方应用,总计 217 款。这些目标包括但不限于主流银行应用(如各国商业银行、信用社与数字银行)、加密货币交易所(如 Coinbase、Binance、Kraken 等)、支付应用(如 PayPal、Venmo、Alipay)以及投资平台。安全研究人员指出,攻击者之所以选择这些应用,是因为它们通常涉及高价值账户与频繁的资金流动。通过针对性的钓鱼覆盖层,Rokarolla 能够在用户输入凭据时实时截取信息,并将其发送至攻击者控制的服务器。
值得关注的是,Rokarolla 的钓鱼覆盖层不仅限于登录界面。木马还会在用户尝试输入支付信息(如信用卡号或银行转账金额)时弹出假的支付页面,进一步窃取财务数据。此外,它还能拦截并隐藏来自银行或加密平台的真实通知,例如转账确认短信或安全验证码,从而延长攻击窗口。研究人员在分析中发现,Rokarolla 的目标列表还包含部分地区性银行与新兴加密应用,这表明攻击者正在扩大目标范围,以覆盖更多潜在受害者。对于拥有多个金融账户的用户而言,这种针对性攻击的风险尤为突出。
技术实现细节:模块化设计与反检测机制
Rokarolla 的技术架构采用了高度模块化的设计,其 137 条指令被划分为多个功能模块,包括设备管理、数据窃取、权限控制与反制策略等。这种模块化设计不仅提升了木马的可维护性,也使得攻击者能够根据需要动态加载或卸载特定功能。例如,在针对特定地区的银行应用时,攻击者可仅启用与该地区语言与支付流程相关的模块,从而降低被检测的风险。此外,Rokarolla 还具备自更新能力,能够通过 C2 服务器获取最新的恶意代码或配置文件,进一步增强其适应性与隐蔽性。
MEFAI的AI带来真实成果。专业版立减50美元。
赞助内容 · 过往表现不代表未来结果。非财务建议。
在反检测与反制裁方面,Rokarolla 采用了多种技术手段。首先,它会主动关闭 Google Play Protect,这是 Android 系统内置的安全防护机制,以避免被官方检测到。其次,木马会隐藏自身图标,使用户无法在应用抽屉中找到它,从而降低被卸载的风险。同时,Rokarolla 会通过假的“系统更新”或“安装中”界面掩盖恶意活动,例如在后台静默下载额外的恶意模块。此外,木马还会利用 Accessibility 服务的特性,模拟用户操作以绕过 Android 的权限提示,例如自动点击“允许”按钮以获取短信或通话记录的访问权限。这些技术手段共同构成了 Rokarolla 的高级反检测体系,使其在野外环境中能够长期潜伏。
对用户与企业的实用防护建议
面对 Rokarolla 等高级 Android 木马,用户与企业需要采取多层防护策略。对于个人用户,首先应避免从非官方渠道下载应用,特别是那些冒充系统组件或知名应用的 APK 包。用户应始终通过 Google Play 商店或官方网站下载应用,并在安装前仔细检查开发者名称、评分与评论。其次,用户应谨慎授予应用权限,特别是 Accessibility 服务、短信、通话记录与通知等高危权限。如果某个应用要求过多或不合理的权限,应立即拒绝并卸载该应用。此外,用户还应定期检查设备上已安装的应用列表,及时发现并卸载可疑应用。
对于企业与开发者,防护策略需要更加系统化。企业应部署移动设备管理(MDM)或企业移动安全(EMS)解决方案,以实现对员工设备的集中监控与管理。这些解决方案可帮助企业检测异常行为、阻止恶意应用安装,并强制执行安全策略。此外,企业还应定期对员工进行安全培训,提高他们对钓鱼攻击与恶意软件的识别能力。开发者则应在应用中集成运行时权限检查与行为分析功能,例如在检测到异常权限请求时立即提醒用户。同时,开发者还应与安全厂商合作,共享威胁情报,以提升对新型木马的检测与响应能力。
相关威胁生态:与其他 Android 木马的对比
Rokarolla 并非孤立的威胁,而是当前 Android 木马生态中的一环。与以往的银行木马(如 Anubis、Cerberus 或 Flubot)相比,Rokarolla 在技术复杂度与功能模块化方面有所提升。例如,Anubis 主要通过假登录框窃取银行凭据,但其指令集与反检测能力较为有限;而 Cerberus 则采用了模块化设计,但其目标列表主要集中在欧美地区。相比之下,Rokarolla 的目标列表更为广泛,涵盖全球多个地区的银行与加密应用,且其 137 条指令涵盖了从数据窃取到设备控制的全方位功能。此外,Rokarolla 的反检测手法(如关闭 Google Play Protect、隐藏图标与假冒系统组件)也更为成熟,这表明攻击者正在借鉴其他高级威胁组织的经验。
另一个值得关注的对比对象是 Flubot,该木马主要通过短信传播,并针对欧洲地区的银行应用。与 Flubot 相比,Rokarolla 的传播渠道更为多样化(包括恶意网站与社交工程),且其目标范围更广。此外,Rokarolla 的指令集还支持通过 C2 服务器动态加载新的攻击模块,这使得它能够更快速地适应安全防护措施的变化。从威胁演进的角度来看,Rokarolla 的出现表明 Android 木马正在向更高级、更模块化与更具针对性的方向发展,这对安全厂商与用户提出了更高的防护要求。
未来趋势与监测重点
展望未来,Rokarolla 等高级 Android 木马的威胁趋势值得持续关注。首先,攻击者可能会进一步扩大目标列表,特别是针对新兴市场的银行与加密应用,以覆盖更多潜在受害者。其次,木马的指令集可能会继续扩展,增加对新兴支付方式(如数字人民币、央行数字货币或去中心化金融应用)的针对性攻击。此外,攻击者还可能利用人工智能技术生成更逼真的钓鱼页面或恶意应用界面,从而提升欺骗成功率。
对于安全研究人员与厂商而言,监测重点应包括木马的 C2 通信模式、权限滥用行为与模块化更新机制。通过分析木马的指令集与目标列表,研究人员可识别其潜在的新目标与攻击手法,并及时更新防护规则。同时,厂商应加强对恶意网站与 APK 包的检测能力,特别是针对冒充系统组件或知名应用的恶意软件。此外,用户教育仍是防护链条中不可或缺的一环,安全厂商应定期发布威胁预警与防护指南,帮助用户提升安全意识。
总结:多层防护是关键
Rokarolla 的出现再次提醒我们,移动端的金融威胁正在向更高级、更模块化与更具针对性的方向演进。该木马通过伪装下载、权限劫持与钓鱼覆盖层等手法,实现了对 217 款银行与加密应用的全面攻击。对于用户而言,避免从非官方渠道下载应用、谨慎授予高危权限、定期检查设备上的可疑应用,是降低风险的基础措施。而对于企业与开发者,部署移动安全解决方案、加强员工培训与应用安全检查,则是构建多层防护体系的关键。在威胁不断演进的背景下,只有将技术防护与用户教育相结合,才能有效应对包括 Rokarolla 在内的高级移动威胁。
更多相关内容 网络安全与隐私
Steam Workshop 成恶意壁纸分发渠道:Wallpaper Engine 用户被植入后门与挖矿程序
研究人员发现攻击者正通过 Steam Workshop 向 Wallpaper Engine 用户推送伪装壁纸的恶意包,已累计数万下载量。一旦用户安装,即可自动执行后门、窃取 Steam 账号或植入挖矿程序。
ClickFix 幕后的三大新型恶意软件装载器:BabaDeda、Lorem Ipsum 与 Potemkin
以 ClickFix 为幌子的恶意软件活动正在升级:BabaDeda、Lorem Ipsum、Potemkin 三大装载器利用伪装更新、隐藏 PowerShell 与 DLL 劫持手法,瞄准教育与金融行业。本文拆解新技术细节、影响范围与防护要点。
美国司法部首次依据《移除法案》没收AI深伪裸体网站域名
美国司法部首次依据《TAKE IT DOWN Act》没收CFAKE.com和SOCFAKE.com,这两个网站涉嫌传播未经同意的AI生成裸体深伪内容,执法行动涉及美意法三国执法机构。