安卓木马Rokarolla伪装流行应用传播，可攻击超200款金融软件

近日，一款名为Rokarolla的新型安卓银&行木马被安全研究人员曝光，其伪装成TikTok或Google Chrome等流行应用进行传播，对用户的金融资产构成严重威胁。

该木马主要通过恶意网站诱导用户下载安装，一旦感染设备，便能对多达

发起攻击，并具备完整的设备接管能力。其攻击手段隐蔽且功能强大，引发了广泛的安全担忧。

具备137条命令的完整设备控制能力

Rokarolla木马拥有多达137条高级命令，能够全面控制受感染的安卓设备。其恶意功能覆盖多个层面，包括窃取锁屏凭证（如PIN码、图案、密码）、窃取完整的联系人列表和信息数据，并部署键盘记录器持续监控用户的所有输入内容。

核心攻击：叠加虚假登录页面窃取凭证

该木马的核心攻击手段是利用虚假屏幕叠加层。当用户打开目标银&行或加密货币应用时，木马会从远程服务器获取伪造的HTML登录页面，并将其叠加在真实应用界面上。用户在不知情的情况下输入的账户密码、信用卡信息等敏感凭证，会被直接窃取。同时，这些叠加层也被用来隐藏后台的恶意操作，阻止用户察觉和干预。

滥用系统功能并拦截安全警报

为了扩大窃取范围，Rokarolla会滥用安卓系统的辅助功能（无障碍服务）来解析屏幕界面，从而窃取如WhatsApp等应用中的联系人信息。此外，它能够窃取设备上的所有信息内容，并可以代表受害者发送信息，主要用于拦截银&行发送的动态验证码（OTP）。更危险的是，木马还能

，防止用户接收到银&行发出的欺诈警报电话。

采用多种技术手段躲避检测

为了长期潜伏，Rokarolla采取了一系列反检测措施。它会隐藏自身应用图标、禁用设备的音频和振动反馈，并强制屏幕保持常亮状态。同时，该木马会尝试禁用系统内置的Google Play Protect安全防护功能，并使用了名为JSONPacker的混淆和加壳技术来隐藏其恶意代码，增加安全软件的分析难度。