6 月 19 日消息,安全公司 Zimperium 于 6 月 17 日发布博文,报告称其 zLabs 团队发现名为 Rokarolla 的新型安卓银行木马,通过伪装成 TikTok 或者 Chrome 传播,具备完整的设备接管能力。
IT之家援引博文介绍,Rokarolla 主要通过恶意网站(如 hxxps [://]infocontablidades [.]it [.]com/)传播,伪装成 TikTok 或 Google Chrome 等流行应用,诱导用户安装。用户设备一旦感染,该木马可对 217 个加密货币和银行应用发起攻击,实现完整的设备接管。
Rokarolla 具备 137 条高级命令,可全面控制受感染设备。其恶意功能包括:窃取锁屏凭证(PIN 码、图案、密码)、窃取联系人列表和短信数据、使用键盘记录器持续监控用户输入。为隐藏自身操作,Rokarolla 会拦截来电、部署虚假屏幕叠加层、禁用设备音频并终止 Google Play Protect。
Rokarolla 的核心攻击手段是叠加虚假屏幕层。在用户打开目标银行或加密货币应用后,木马从 C2 服务器获取伪造的 HTML 登录页面,并将其叠加在真实应用之上,窃取用户输入的账户凭证或信用卡信息。此外,木马还会使用叠加层隐藏后台操作,阻止用户干预。
该木马滥用安卓辅助功能 (无障碍服务) 解析屏幕 UI 节点,窃取 WhatsApp 联系人信息。同时,它可窃取所有短信内容并代表受害者发送短信,用于拦截银行 OTP。Rokarolla 还能拦截和屏蔽电话,防止用户接收银行的欺诈警报。
为躲避检测,Rokarolla 会隐藏应用图标、禁用设备音频和振动,并强制屏幕常亮。它还尝试禁用 Google Play Protect,并采用混淆和加壳技术(JSONPacker)隐藏代码。