Rokarolla 銀行木馬

翻譯為：

網路安全研究人員發現了一種名為 Rokarolla 的新型安卓銀行木馬，其名稱源自於其命令與控制 (C2) 基礎設施。該惡意軟體旨在攻擊廣泛的金融服務，能夠攻擊 217 款銀行和加密貨幣應用程式。 Rokarolla 配備 137 條遠端指令，使網路犯罪分子能夠對受感染的設備進行高度控制。

一旦安裝，該惡意軟體可以移除鎖定螢幕保護、攔截和發送簡訊、篡改剪貼簿內容以重定向加密貨幣轉賬，甚至可以停用谷歌內建的安全機制。

Rokarolla 主要透過偽裝成合法熱門應用程式的惡意網站進行傳播，包括 TikTok 和 Google Chrome。

受害者會先下載一個偽裝成 Google Play Protect 的投放器應用程式。該投放器利用其可信任的外觀，誘騙使用者授予輔助功能服務權限，從而安裝惡意程式。執行後，Rokarolla 的某一條指令會立即停用 Play Protect，從而破壞 Android 系統的重要安全層。

憑證竊取是透過複雜的疊加攻擊來實現的。 Rokarolla 從其控制伺服器取得目標應用程式列表，並下載與這些應用程式對應的詐騙 HTML 登入頁面。這些偽造的介面儲存在本地，並在受害者打開合法的銀行或加密貨幣應用程式時顯示。

這些虛假螢幕旨在捕獲用戶輸入的所有信息，包括用戶名、密碼和支付卡詳細資訊。研究人員觀察到一個例子，它逼真地模仿了銀行應用程式「imagin」。

該惡意軟體還會部署一個偽造的安卓鎖定螢幕介面，能夠竊取PIN碼、圖案和密碼。即使設備處於鎖定狀態，攻擊者也能利用此功能保持對設備的存取和控制。

Rokarolla 結合了多種監控和盜竊機制，以最大限度地收集數據和獲取經濟利益：

整合的鍵盤記錄和螢幕記錄功能會擷取使用者活動，同時也會持續收集聯絡人和通知。

透過篡改剪貼板，攻擊者可以悄無聲息地將複製的加密貨幣錢包地址替換為攻擊者控制的地址，從而在受害者不知情的情況下轉移資金。

與許多依賴 MediaProjection 進行螢幕錄製的 Android 惡意軟體家族不同，Rokarolla 採用了更隱密的監視策略。它不會觸發可見的錄製通知，而是透過輔助功能服務捕獲螢幕截圖，將其壓縮成 PNG 文件，然後逐一發送給其操控者。

這種方法降低了被偵測到的可能性，同時仍能讓攻擊者詳細了解使用者活動。與 HOOK 和 Klopatra 等惡意軟體家族所使用的隱藏式 VNC 實作相比，Rokarolla 基於螢幕截圖的監控方式既簡單又隱密。

該惡意軟體的設計旨在抵禦各種幹擾。其程式碼中嵌入了多個備份命令與控制域，操作人員可以根據需要動態分配額外的伺服器。因此，禁用單一命令伺服器對整體運作的影響微乎其微。

其龐大的命令集超過了先前在 HOOK 銀行木馬中記錄的 107 條命令，反映出 2026 年 Android 銀行惡意軟體日益複雜化。攻擊方法遵循越來越常見的熟悉模式：

由於 Rokarolla 是惡意軟體而非軟體漏洞，因此沒有安全性修補程式可以徹底消除該威脅。防護措施主要依賴遵循既定的 Android 安全實務。

應用程式應僅從官方 Google Play 商店安裝，Google Play Protect 應始終保持啟用狀態，任何意外的輔助使用權限請求都應視為重大警告信號。輔助功能存取權限是 Rokarolla 攻擊鏈的基礎，並使其許多最危險的功能得以實現。

截至發稿時，Rokarolla 尚未與任何已公開確認的威脅行為者或網路犯罪組織有關聯。然而，其設計顯然蓄意繞過安卓使用者被鼓勵信任的各種保護措施，包括 Play Protect、鎖定螢幕保護和其他內建安全控制。

該惡意軟體的功能凸顯了安卓銀行木馬的不斷演變以及以經濟利益為目的的行動威脅日益複雜的趨勢。

搜索