Zimperium 旗下 zLabs 实验室研究人员发布了针对 Rokarolla 的深度分析报告,这是一款全新安卓银行木马,名称取自其使用的命令控制基础设施。该木马通过仿冒 TikTok、Chrome 的恶意网站传播,已确认一处分发站点为 hxxps://infocontablidades [.] it [.] com/。受害者首先下载安装的是伪装成谷歌 Play 保护机制的释放器,以此降低用户警惕。
Zimperium 发布的报告中写道:“该高侵入性恶意程序主要通过 https ://infocontablidades.it.com / 等恶意网站分发,页面仿冒 TikTok、谷歌 Chrome 等热门应用,专门针对 217 款不同加密货币与银行类应用实施入侵窃取。此外,该木马会主动隐藏自身行为、阻断用户干预:拦截来电、部署虚假弹窗覆盖层、屏蔽设备音频、关闭谷歌 Play 保护服务。”
释放器的核心作用很简单:下载并安装第二阶段载荷,同时申请无障碍服务权限。一旦获取无障碍权限,恶意程序便可执行全部恶意行为。它能模拟用户点击、解析屏幕界面控件、在正规应用上层植入覆盖弹窗,无需用户手动操作即可自动执行各类指令。其内置 137 条指令中包含一条可关闭谷歌 Play 保护,彻底抹除它当初伪装用来骗取安装的安全防护组件。
木马会从 C2 服务器动态拉取目标应用清单。针对每一款标记的目标软件,恶意程序都会下载虚假 HTML 登录页面并存储在本地 SQLite 数据库。当受害者打开正版应用时,Rokarolla 会弹出伪造登录界面,窃取用户输入的全部账号密码、银行卡号等凭证。
设备锁屏界面同样会遭到仿冒攻击。木马部署模仿原生安卓锁屏的虚假密码输入界面,用户输入的锁屏密码会全部回传至攻击者服务器。
报告补充说明:“用户在虚假界面输入的所有凭证(见下图)都会被恶意 UI 捕获,并外传至攻击者控制服务器以供后续盗用。凭借这些窃取信息,攻击者即便在设备锁屏状态下也能下发操控指令。”
正是这一特性,让该程序不只是单纯的凭证窃取工具:无论机主是否正在使用手机,攻击者都能远程操控设备。
短信处理是本次攻击的另一核心手段。Rokarolla 能够读取设备内全部短信,并可冒用受害者身份发送短信,足以截获银行用于登录、交易核验的一次性验证码。该木马还会申请成为默认通话处理程序,从而静默拦截所有来电,银行风控部门的风险预警电话根本无法正常响铃。恶意程序执行恶意操作期间会关闭设备全部音频与震动,不会产生任何可能引起用户警觉的提示音。
分析报告补充写道:“除视觉层面的隐蔽手段外,该恶意程序可关闭设备全部音频与震动,确保欺诈行为全程静默执行。音频屏蔽功能能够掩盖各类关键提示信号,例如安全告警通知、银行打来的核验电话,大幅降低用户察觉并终止交易流程的概率。为实现长期驻留,木马还会强制设备屏幕持续常亮。该机制可避免屏幕超时锁屏,防止伪造界面覆盖层、自动操控行为及后台进程被中断。”
木马会在后台静默篡改剪贴板内容:当用户复制加密货币钱包地址准备转账时,Rokarolla 会在无任何可视提示的情况下,将地址替换为攻击者控制的钱包地址。程序同时运行键盘记录器与屏幕内容抓取器,完整记录所有输入内容与屏幕显示信息。它通过解析界面控件节点,匹配 “对话”“通话” 等 WhatsApp 专属界面关键词,窃取 WhatsApp 联系人数据。
在屏幕监控方面,Rokarolla 刻意规避 MediaProjection 接口 —— 调用该接口会弹出录屏提示,极易暴露行踪。
报告指出:“传统安卓恶意程序会依靠 MediaProjection 接口持续投屏(虚拟网络控制台 VNC),而该变种采用了全新的截图式监控方案。木马会定时截取受害者设备屏幕,压缩为 PNG 图片并附带精确时间戳一同外传。每次数据传输完成后,程序会重置运行状态并执行清理流程,保障系统稳定,准备下一轮截图采集。”
全程逐帧静默采集,不留下任何可视痕迹。
其命令控制(C2)基础设施具备高容灾设计:程序内置多个备用域名硬编码在代码中,还能随时通过服务器配置响应获取最新可用 C2 地址列表。单一服务器下线不会中断攻击链路。流量分析中监测到四个相关域名:beralisvc.info、blestorians.cfd、abiorime.cfd、morevoms.cfd,其中检测期间 hxxps://beralisvc .info 这一 C2 域名处于活跃状态。
研究人员表示,本次攻击并未利用系统或软件漏洞,因此不存在对应的修复补丁。防护手段仍为常规安全规范:仅从谷歌应用商店安装应用;绝不向未知辅助类软件授予无障碍服务权限;任何申请成为默认短信、通话处理程序的应用都需高度警惕。Zimperium 称其移动威胁防御与 zDefend 产品可查杀 Rokarolla,包含 APK 哈希值在内的完整 IOC 指标清单已发布至该企业 GitHub 仓库。目前尚未将该攻击关联至任何已知网络犯罪团伙。
报告总结:“该恶意程序具备极强的隐蔽、绕过检测与持久驻留能力,专门规避安全设备识别、阻止用户手动卸载。同时它综合运用多种隐匿技术,全程在用户毫无察觉的状态下实施恶意行为。”