IT之家6月19日消息,安全公司Zimperium于6月17日发布博文,报告称其zLabs团队发现名为Rokarolla的新型安卓银行木马,通过伪装成TikTok或者Chrome传播,具备完整的设备接管能力。
IT之家援引博文介绍,Rokarolla主要通过恶意网站(如hxxps[://]infocontablidades[.]it[.]com/)传播,伪装成TikTok或Google Chrome等流行应用,诱导用户安装。用户设备一旦感染,该木马可对217个加密货币和银行应用发起攻击,实现完整的设备接管。
Rokarolla具备137条高级命令,可全面控制受感染设备。其恶意功能包括:窃取锁屏凭证(PIN码、图案、密码)、窃取联系人列表和短信数据、使用键盘记录器持续监控用户输入。为隐藏自身操作,Rokarolla会拦截来电、部署虚假屏幕叠加层、禁用设备音频并终止Google Play Protect。
Rokarolla的核心攻击手段是叠加虚假屏幕层。在用户打开目标银行或加密货币应用后,木马从C2服务器获取伪造的HTML登录页面,并将其叠加在真实应用之上,窃取用户输入的账户凭证或信用卡信息。此外,木马还会使用叠加层隐藏后台操作,阻止用户干预。
该木马滥用安卓辅助功能(无障碍服务)解析屏幕UI节点,窃取WhatsApp联系人信息。同时,它可窃取所有短信内容并代表受害者发送短信,用于拦截银行OTP。Rokarolla还能拦截和屏蔽电话,防止用户接收银行的欺诈警报。
为躲避检测,Rokarolla会隐藏应用图标、禁用设备音频和振动,并强制屏幕常亮。它还尝试禁用Google Play Protect,并采用混淆和加壳技术(JSONPacker)隐藏代码。
