如果你的安卓手机最近安装过来路不明的“Chrome更新”或“TikTok破解版”,请立刻检查一下辅助功能权限——因为一款名为 Rokarolla 的新型银行木马,正在通过伪造热门App的钓鱼网站大规模传播。它不是普通的病毒,而是一套完整的“手机控制面板”,让黑客几乎可以为所欲为。
第一步:披着“谷歌保护”外衣的骗局

Rokarolla的入侵从一款投放器(Dropper)开始。这款投放器伪装成谷歌官方的Play Protect安全组件,诱导用户安装。一旦得手,它会立即申请无障碍服务(Accessibility)权限——这是安卓系统给予残障人士的辅助功能,但也是木马最爱的“万能钥匙”。
拿到这个权限后,Rokarolla做的第一件事,就是远程关闭真正的Google Play Protect,让手机彻底失去官方实时扫描保护。此时,恶意负载已经稳稳扎根在系统里。
第二步:覆盖层劫持——你输的每一笔账,都进了黑客口袋

这款木马最“高明”的手法,是动态HTML覆盖攻击。它会从服务器拉取一份包含217个银行和加密钱包App的名单,并针对每个活跃App下载对应的伪造登录页面,存储在本地数据库中。
当你正常打开银行或钱包App时,Rokarolla会在真页面之上弹出一个一模一样的假页面。你输入的卡号、密码、支付验证码,全部实时回传。更隐蔽的是,它还会额外覆盖一个仿冒的安卓锁屏界面,骗你输入PIN码或图案锁——这样即使手机锁着,黑客也能远程解锁操作。
第三步:短信、通话、剪贴板——全线失守

银行交易往往依赖短信验证码,Rokarolla对此早有对策:
读取并发送短信:能截获所有一次性验证码,甚至主动发短信;
设为默认短信/电话应用:拦截银行打来的风险警告电话,让你完全不知情;
键盘记录+屏幕截图:通过无障碍服务定时截屏(避开会弹出提示的录屏API),压缩成PNG图传走,相当于“无声直播”你的每一步操作;
剪贴板劫持:当你复制加密货币钱包地址时,它悄悄替换成黑客的地址,一笔转账就可能血本无归。
137条指令,比知名木马HOOK更强大

安全公司Zimperium的zLabs团队统计,Rokarolla内置了多达137条远程控制命令,超过之前肆虐的HOOK木马(107条)。从开关Wi-Fi、拨打电话、安装应用,到清除数据、上传文件,几乎覆盖了手机的所有功能。
而且它的C2(命令控制)服务器采用多备用域名机制,即使封掉一个,也能实时切换到新地址,传统“断网”式拦截效果有限。
为什么没有“补丁”可打?

这是纯粹的恶意软件,谷歌无法通过系统更新来清除它。唯一的防御方式,仍是老生常谈却最有效的几条:
只从Google Play官方商店下载应用,拒绝任何第三方网站诱惑;
始终保持Play Protect开启,不要因为弹窗提醒就手动关闭;
对任何索取“无障碍服务”权限的App保持最高警惕——哪怕是伪装成安全工具,也要立刻拒绝并卸载。
Zimperium表示,其安全产品已能检测该家族,相关入侵指标(IoC)已公开在GitHub仓库中。目前尚未确认Rokarolla归属于哪个黑客组织,但其代码设计明确针对用户最依赖的几道防线——从Play Protect到锁屏密码,全部被逐一击破。
资讯来源:Zimperium zLabs安全研究报告(2026年6月)


球分享

球点赞

球在看
夜雨聆风