文章总结： Zimperium发现新型安卓银行木马Rokarolla，针对217个银行及加密应用，具备137个远程指令。它伪装知名应用传播，利用无障碍服务禁用Play保护、窃取锁屏密码、拦截短信验证码和剪贴板内容实施诈骗。建议用户仅从官方渠道下载应用，警惕异常无障碍权限请求，以保障资金安全。 综合评分： 85 文章分类： 恶意软件,移动安全,威胁情报

新的Rokarolla Android恶意软件窃取pin，短信代码和加密钱包资金

HackSee安全团队 HackSee安全团队

HackSee安全生活

2026年6月17日 19:45 北京

在小说阅读器读本章

去阅读

Zimperium实验室的安全研究人员记录了一种新的安卓银行木马——Rokarolla，它针对217个银行和加密货币应用程序，并打包了137个远程命令。

总之，它们让运营商几乎完全控制了受感染的手机：它可以解除锁屏pin，读取和发送短信，重写剪贴板以重定向加密支付，并关闭谷歌Play Protect。

Rokarolla以其命令和控制服务器命名，通过恶意网站冒充TikTok和Chrome等知名应用程序传播。

受害者安装的第一件事就是假装是b谷歌Play Protect的滴管。它使用这种伪装来安装有效负载并获取可访问性访问。一旦恶意软件运行，其中一个命令会关闭Play Protect。

盗窃贯穿了覆盖层。Rokarolla从它的服务器上提取一个目标列表，对于每个被标记为活动的应用程序，它下载一个假的HTML登录页面，并将其存储在本地数据库中。当受害者打开真正的银行或钱包应用程序时，恶意软件会将假页面放在顶部，并捕获输入其中的所有内容，包括信用卡详细信息。

报告显示，其中一个虚假页面模仿了银行应用“imagin”。一个单独的覆盖层模仿Android锁定屏幕来捕获PIN，图案或密码，这让操作员即使在锁定状态下也可以控制手机。

它读取设备上的每条短信，并可以自己发送信息，这足以获取银行用于批准登录和交易的一次性短信代码。通过将自己设置为手机短信和通话的默认应用程序，它还可以阻止来电，因此银行的警告电话永远不会接通。

键盘记录器和屏幕记录器记录用户输入和看到的内容，特洛伊木马刮擦联系人并读取通知。剪贴板被悄无声息地重写，交换攻击者的钱包地址，因此复制的加密支付进入了错误的账户。

对于监视，Rokarolla跳过了通常的MediaProjection屏幕投射，它抛出一个可见的记录提示，而是通过可访问性获取屏幕截图，将它们压缩为PNG，并将它们一次发送一帧。这种快照方法比Klopatra等家庭使用的实时隐藏VNC更简单、更安静。

恶意软件携带多个备用C2域，并且可以在运行中获得新的C2域，因此拉出单个服务器的作用很小。它的137个指令数量超过了Zimperium在HOOK木马中的107个指令数量，并且其策略与2026年Android银行的一波相同：假应用drop，易访问性滥用和HTML覆盖。

这里没有补丁可以应用。这是恶意软件，而不是产品缺陷，所以这些防御措施是针对Android银行的标准措施。只从谷歌Play安装应用程序，让Play Protect打开，并将任何意外的可访问性请求视为危险信号，因为一个权限驱动整个攻击链。

Zimperium表示，它自己的产品可以检测到这个家族，而泄露的指标在它的GitHub存储库中。

Zimperium没有将Rokarolla与一个命名的群体联系起来。构建所显示的是意图：一个银行家组合在一起，以击败用户被告知要依赖的确切保护，从Play Protect到锁定屏幕。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HackSee安全生活 HackSee安全团队 HackSee安全团队《新的Rokarolla Android恶意软件窃取pin，短信代码和加密钱包资金》