▎新型 Android 银行木马 Rokarolla 曝光:伪装 TikTok、Chrome,目标覆盖 217 款金融应用
移动安全公司 Zimperium zLabs 披露了一款新发现的 Android 银行木马 Rokarolla。该木马主要通过恶意网站传播,伪装成 TikTok、Google Chrome 等常见应用,诱导用户安装,随后再伪装成 Google Play Protect,引导安装第二阶段恶意载荷。
研究人员称,Rokarolla 的目标范围覆盖 217 款银行与加密货币应用,并支持 137 条远程控制命令。一旦设备被感染,攻击者可以窃取锁屏 PIN、图案密码或密码,读取短信和联系人,记录键盘输入,截取屏幕内容,还可以操控剪贴板,将加密货币钱包地址等关键信息替换成攻击者指定内容。
Rokarolla 的核心攻击方式是“覆盖层钓鱼”。当用户打开真实的银行或加密货币 App 时,木马会从 C2 服务器下载对应的假登录页面,并覆盖在真实 App 之上。用户看到的是类似正常登录界面的页面,实际输入的账号、密码、银行卡信息会被直接发送给攻击者。
这款木马还会滥用 Android 无障碍服务,读取屏幕内容、模拟点击、阻止用户正常操作。Zimperium 表示,它可以拦截或阻止来电,读取和发送短信,静音设备音频与震动,隐藏应用图标,并尝试关闭 Google Play Protect,以减少用户发现异常的概率。
报告全文:https://zimperium.com/blog/rokarolla-android-banker-with-complete-device-takeover-capabilities
频道 @AppDoDo 官推 APPDOTG
