一、事件概述
Zimperium zLabs 披露了一种新型 Android 银行木马 Rokarolla。研究人员表示,该木马主要通过恶意网站传播,伪装成 TikTok、Google Chrome 等热门应用,诱导用户安装恶意安装包。
Rokarolla 的攻击目标覆盖面很广。Zimperium 报告称,它针对 217 个银行、加密货币和社交媒体应用,并内置 137 条远程控制命令。其能力包括窃取锁屏凭据、读取短信、窃取联系人、记录键盘输入、显示假登录页面、拦截来电、关闭设备声音、隐藏自身图标、尝试禁用 Google Play Protect 等。
这类恶意软件的风险不只在于“偷验证码”,而是可能让攻击者在受害者不知情的情况下持续控制设备、截取银行短信、覆盖真实银行 App 登录界面、替换加密货币钱包地址,并阻止银行风控电话打进来。
对普通用户来说,Rokarolla 代表了一类非常危险的 Android 威胁:它利用用户手动安装 APK 的习惯、对热门 App 的信任,以及对无障碍权限的误授权,最终把手机变成攻击者可远程操控的金融盗窃工具。
二、Rokarolla 的传播方式:伪装热门应用,引导用户侧载安装
Rokarolla 的感染链从恶意网站开始。攻击者通过仿冒页面诱导用户下载安装包,并把恶意 App 包装成 TikTok、Google Chrome 或类似常见应用。
这类传播方式在 Android 生态中很常见,尤其针对无法直接使用 Google Play、习惯从网页或第三方渠道下载 APK 的用户。
攻击链大致可以概括为:
- 用户访问恶意网站或被钓鱼链接引导到下载页面。
- 页面伪装成热门应用下载入口。
- 用户下载并安装恶意 APK。
- 初始 Dropper 伪装成正常应用或 Google Play Protect。
- Dropper 引导安装第二阶段恶意载荷。
- 恶意载荷请求无障碍、短信、通知、默认短信处理、默认电话处理等高危权限。
- 木马连接 C2 服务器并等待攻击者下发指令。
- 一旦用户打开银行、钱包或社交应用,木马可弹出假界面窃取凭据。
这种攻击的关键不在于复杂漏洞,而在于社会工程和权限诱导。用户只要安装了恶意 APK,并授予高危权限,攻击者就能进入下一步。
三、为什么 Android 更容易遭遇这类攻击?
Android 的开放生态带来灵活性,也带来更高的侧载风险。用户可以绕过 Google Play,从网页、网盘、聊天群、第三方市场直接安装 APK。这给恶意软件提供了更大的传播空间。
在中国大陆、部分新兴市场和 Google Play 不可用地区,用户更容易形成“找 APK 安装”的习惯。攻击者正是利用这种使用习惯,把恶意 App 包装成热门应用、破解工具、系统更新、加速器、钱包、交易所、视频软件或 VPN 客户端。
高风险来源包括:
| 来源 | 风险 |
|---|---|
| 不明 APK 网站 | 安装包可能被篡改 |
| Telegram / WhatsApp 群文件 | 文件来源难以验证 |
| 网盘分享 | 可能长期传播旧版或恶意版本 |
| 破解 App 网站 | 常见广告注入、木马植入 |
| 假 Google Play 页面 | 诱导用户以为是官方渠道 |
| 假 TikTok / Chrome 下载页 | 利用用户对热门 App 的信任 |
| 第三方应用市场 | 审核质量参差不齐 |
| 朋友转发安装包 | 转发者也可能不知情 |
365VPN 安全团队建议,Android 用户尽量通过 Google Play、厂商官方商店或应用官方网站下载 App。涉及银行、钱包、交易所、通讯工具、VPN、浏览器等高权限应用时,更应避免安装来路不明 APK。
四、Rokarolla 的核心能力
1. 滥用无障碍服务
Rokarolla 会诱导用户开启 Android 无障碍服务。无障碍服务原本是为了帮助视障、行动不便用户操作设备,但被恶意软件滥用后,风险非常高。
一旦恶意 App 获得无障碍权限,它可能做到:
| 能力 | 风险 |
|---|---|
| 读取屏幕元素 | 获取当前 App 页面内容 |
| 自动点击按钮 | 替用户确认权限、提交表单 |
| 识别输入框 | 捕捉账号、密码、验证码 |
| 监控用户操作 | 判断用户打开了哪个银行 App |
| 操纵界面 | 自动完成转账、授权或设置变更 |
| 覆盖真实页面 | 展示假登录界面骗取凭据 |
对银行木马来说,无障碍权限是最关键入口之一。它让木马能观察屏幕、操纵界面、自动执行动作,接近“人在操作手机”的效果。
2. 覆盖层钓鱼
Rokarolla 会针对银行和加密货币应用显示伪造登录页面。用户以为自己正在登录真实 App,实际输入的账号、密码、银行卡信息或钱包信息被恶意软件截获。
覆盖层攻击的典型流程是:
- 用户打开真实银行 App。
- 木马检测到目标 App 包名。
- 木马从 C2 获取对应假登录页面。
- 木马把假页面覆盖在真实 App 上方。
- 用户输入账号、密码、验证码或银行卡信息。
- 木马把输入内容发送给攻击者。
这种攻击很难靠普通肉眼识别。假界面可能完全模仿真实银行页面,用户只看到熟悉的 logo、颜色和输入框。
3. 短信窃取和短信控制
Rokarolla 能读取短信,并可能代替用户发送短信。对银行和交易所用户来说,这一点非常危险。
短信中可能包含:
| 信息类型 | 风险 |
|---|---|
| 银行验证码 | 可用于登录或交易确认 |
| 交易所 OTP | 可用于重置密码或提现 |
| 运营商验证码 | 可用于换卡、改套餐或身份验证 |
| 邮箱验证码 | 可用于账号找回 |
| 支付平台通知 | 暴露支付行为 |
| 私人聊天短信 | 泄露隐私信息 |
如果攻击者同时掌握登录密码、短信验证码和设备操作能力,就可能绕过很多基于短信的二次验证。
4. 来电拦截和禁用通话
Zimperium 报告指出,Rokarolla 可阻止或拦截来电。这个能力很危险,因为很多银行和支付机构在发现异常交易时,会通过电话联系用户。
攻击者如果能阻止银行风控电话打进来,就能减少受害者及时发现异常的机会。
典型场景是:
- 攻击者尝试登录银行或交易所账号。
- 银行检测到异常,拨打用户电话确认。
- 木马拦截或阻止电话。
- 用户没有收到提醒。
- 攻击者继续执行转账、提现或更改资料。
5. 键盘记录和屏幕内容窃取
Rokarolla 具备键盘记录能力,并可采集屏幕内容。这意味着它不仅能偷银行信息,也可能窃取普通 App 中输入的内容。
可能被窃取的信息包括:
| 信息 | 风险 |
|---|---|
| 银行账号和密码 | 金融盗窃 |
| 交易所密码 | 加密资产被盗 |
| 钱包地址和助记词 | 资产不可逆损失 |
| 邮箱密码 | 账号恢复链被攻破 |
| 社交账号密码 | 冒充本人诈骗 |
| 公司系统密码 | 企业数据泄露 |
| 私人聊天内容 | 隐私泄露 |
这类能力让 Rokarolla 从“银行木马”扩展成“整机数据窃取工具”。
6. 剪贴板操纵
报告提到,Rokarolla 可覆盖设备剪贴板内容。这个能力常用于加密货币盗窃。
用户复制一个钱包地址准备转账时,木马可以悄悄把剪贴板里的地址替换成攻击者的钱包地址。用户如果没有逐位核对地址,就可能把资产转到攻击者账户。
加密货币转账一旦完成,通常很难追回。
365VPN 安全团队建议,加密货币用户在转账前必须核对地址前后字符,并优先使用地址白名单、硬件钱包和小额测试转账。
7. 伪 VNC 式屏幕监控
Rokarolla 没有简单依赖常规连续投屏方式,而是使用截图式屏幕监控。它可以周期性捕获屏幕截图并发送到攻击者服务器。
这意味着攻击者可能间接看到用户正在做什么,包括打开了哪个 App、输入了哪些信息、交易页面显示了什么、验证流程到哪一步。
这种方式更隐蔽,也更适合绕过部分安全检测。
8. 隐藏图标、禁用声音、保持屏幕常亮
Rokarolla 具备多种隐藏和持久化能力。它可能隐藏应用图标,降低用户发现它的概率;禁用设备声音和震动,避免用户注意到来电、通知或安全提醒;保持屏幕常亮,确保攻击流程不被锁屏打断。
这些能力说明,它的目标不是短暂窃取一次验证码,而是尽量维持对设备的控制,为金融欺诈争取时间窗口。
五、Rokarolla 的 C2 通信与远程控制
Rokarolla 通过 HTTPS 与 C2 基础设施通信。它会向服务器发送设备基础信息,例如设备型号、Android 版本、时区、屏幕尺寸、电池状态、存储状态等,用于识别受害者设备和生成唯一 botID。
它还支持多个备用域名,并能动态更新 C2 地址。这意味着即使部分域名被封锁或下线,攻击者仍可能通过备用域名维持控制。
这类设计说明 Rokarolla 不是简单的单次钓鱼 App,而是具有远程控制和持续运营能力的恶意软件家族。
对企业和安全团队来说,单纯依赖静态域名封锁并不足够,还需要结合行为检测、权限审计、设备安全策略和恶意 APK 阻断。
六、受影响用户画像
Rokarolla 的目标覆盖银行、加密货币和社交媒体应用,因此高风险用户包括:
| 用户类型 | 风险 |
|---|---|
| Android 用户 | 侧载 APK 和权限滥用风险更高 |
| 使用第三方 APK 网站的用户 | 容易安装伪装恶意 App |
| 加密货币用户 | 钱包地址替换、交易所盗取、助记词泄露 |
| 银行 App 用户 | 登录凭据、短信验证码、交易确认被窃取 |
| 跨境电商用户 | 支付、银行、邮箱和社媒账号风险更高 |
| 社媒运营用户 | WhatsApp、Telegram、社交账号可能被窃取 |
| 使用公共 Wi-Fi 的用户 | 更容易被钓鱼页面或恶意下载诱导 |
| 不懂权限管理的用户 | 容易授予无障碍、短信、通知等高危权限 |
对中国大陆用户来说,尤其要警惕“海外 App 下载”“TikTok 安装包”“Google Chrome 安装包”“交易所 App”“钱包 App”“VPN 客户端”等关键词下的假下载页面。
这类场景很容易被攻击者利用。
七、普通用户如何判断手机可能已经中招?
如果 Android 手机出现以下情况,需要提高警惕:
| 异常表现 | 可能风险 |
|---|---|
| 最近安装过来路不明 APK | 可能是恶意 App 入口 |
| 出现陌生无障碍服务 | 恶意软件可能正在读取和操控屏幕 |
| 手机突然无法接听部分电话 | 可能存在来电拦截 |
| 银行 App 打开后界面异常 | 可能被覆盖层钓鱼 |
| 短信验证码异常消失 | 短信可能被读取或拦截 |
| 通知声音突然异常 | 恶意软件可能关闭声音 |
| 手机屏幕无故常亮 | 可能存在后台操控 |
| 剪贴板内容被替换 | 加密货币用户高风险 |
| App 图标消失但仍在运行 | 恶意软件可能隐藏自身 |
| 电池和流量消耗异常 | 后台通信或截图上传 |
| Google Play Protect 被关闭 | 高危信号 |
| 账户出现异地登录或交易 | 可能已经发生凭据泄露 |
一旦怀疑中招,应立即断网、停止使用银行和钱包 App,并从可信设备修改重要账号密码。
八、普通用户的应急处理步骤
如果怀疑手机感染 Rokarolla 或类似 Android 银行木马,建议按以下顺序处理。
- 立即断开网络,包括 Wi-Fi 和移动数据。
- 不要继续打开银行、交易所、钱包、邮箱和支付 App。
- 使用另一台可信设备修改邮箱、银行、交易所、支付和社交账号密码。
- 关闭短信 2FA,改用认证器 App、Passkey 或硬件安全密钥。
- 联系银行和交易所冻结高风险操作。
- 检查是否有异常转账、提现、登录和设备绑定。
- 在 Android 设置中检查无障碍服务、通知读取权限、短信权限、默认短信 App、默认电话 App。
- 卸载最近安装的可疑 App。
- 如果无法确认干净状态,备份重要照片和文件后恢复出厂设置。
- 恢复后只从官方渠道安装 App。
- 检查 Google Play Protect 是否开启。
- 对加密货币用户,立即检查钱包地址、交易记录、授权合约和交易所提现白名单。
如果已经输入过银行卡、交易所、钱包或邮箱密码,应默认这些凭据已经泄露,尽快更换。
九、如何预防 Rokarolla 类 Android 银行木马?
1. 不安装来路不明 APK
这是最重要的一点。
不要从陌生网页、群文件、网盘、破解站、广告弹窗下载 TikTok、Chrome、交易所、钱包、VPN、视频工具、加速器或系统更新。
官方应用应从 Google Play、品牌官网、厂商官方商店获取。
2. 谨慎授予无障碍服务权限
无障碍服务是 Android 上最容易被银行木马滥用的权限之一。
普通 App 通常不应该要求你开启无障碍权限。尤其是浏览器、视频软件、VPN、钱包、交易所、剪辑软件、社交 App,如果突然要求开启无障碍服务,应高度警惕。
3. 不把陌生 App 设为默认短信或电话应用
Rokarolla 会请求默认短信处理和默认电话处理角色。普通用户不应把陌生应用设为默认短信或电话应用。
一旦恶意 App 成为默认短信或电话处理器,它就可能读取短信、发送短信、拦截电话、阻止风控提醒。
4. 开启 Google Play Protect
不要关闭 Google Play Protect。不要相信所谓“为了安装必须关闭安全检测”的提示。
如果某个安装包要求你关闭 Play Protect、关闭杀毒软件、允许全部权限,基本可以判断为高风险。
5. 银行和交易所不要只依赖短信验证码
短信验证码可以被木马读取,也可能被 SIM Swap 攻击劫持。
建议使用:
认证器 App、Passkey、硬件安全密钥、交易所提现白名单、提现冷却期、设备确认、反钓鱼码。
6. 加密货币转账要核对地址
每次转账前,核对钱包地址前 6 位和后 6 位。大额转账先做小额测试。启用地址白名单。重要资产使用硬件钱包。不要把助记词存在手机截图、备忘录、云盘、聊天记录中。
7. 定期检查权限
Android 用户建议定期检查:
无障碍服务、通知读取权限、短信权限、电话权限、设备管理员权限、悬浮窗权限、后台自启动、安装未知应用权限。
任何不熟悉 App 拥有这些权限,都应立即排查。
十、企业和团队应如何防护?
企业员工的 Android 手机如果用于邮箱、Slack、Telegram、WhatsApp、银行、广告后台、跨境电商、云服务或内部系统,感染银行木马后风险会扩展到企业层面。
企业应重点关注:
| 防护措施 | 说明 |
|---|---|
| 移动设备管理 | 限制未知来源 APK 安装 |
| 应用白名单 | 只允许官方应用市场和批准 App |
| 权限审计 | 监控无障碍、短信、通知等高危权限 |
| 移动威胁防护 | 检测恶意 App、钓鱼页面和 C2 通信 |
| 员工培训 | 识别假 Chrome、假 TikTok、假更新 |
| 账号 MFA | 不使用短信作为唯一认证 |
| 高风险账号分离 | 财务、广告后台、云服务账号独立管理 |
| 日志监控 | 关注异常登录、异常设备绑定 |
| BYOD 策略 | 个人设备访问公司资源应受控 |
| 应急流程 | 员工手机中毒后能快速冻结账号 |
对跨境团队来说,手机不再只是通信工具,也可能是企业后台、广告账号、银行账户和云服务的入口。移动端安全应纳入企业整体安全策略。
十一、365VPN 在这类风险中的作用与边界
365VPN 可以保护网络连接,但不能替代移动端杀毒、权限管理和官方应用安装习惯。
这点必须说清楚。
如果用户已经安装了 Rokarolla 这类恶意 APK,并授予无障碍、短信、电话、通知等高危权限,VPN 无法阻止恶意软件在本机读取屏幕、记录输入、窃取短信或弹出假界面。
VPN 能发挥作用的地方在于网络连接层。
365VPN 可以帮助用户:
| 场景 | 作用 |
|---|---|
| 公共 Wi-Fi 上网 | 加密连接,降低本地窃听和 DNS 劫持风险 |
| 访问官方应用下载页 | 减少被本地网络劫持到假页面的风险 |
| 访问 Google Play、Signal、TikTok、CapCut 等海外服务 | 提供稳定海外网络环境 |
| 使用银行、交易所、云服务 | 降低公共网络下的连接暴露风险 |
| 避免免费 VPN 安装包风险 | 使用官方客户端替代来路不明 VPN APK |
| 跨境业务和远程办公 | 提供更稳定的安全连接环境 |
365VPN 提供全球 60+ 国家和地区、500+ 服务器节点、AES-256 金融级加密、智能分流、独立 IP、托管 SOCKS 代理、24 小时客服和 15 天无理由退款。
它适合用于保护公共 Wi-Fi、跨境访问和海外服务连接,但用户仍必须做到:不装不明 APK、不乱给无障碍权限、不关闭 Play Protect、不把短信验证码当作唯一安全防线。
十二、为什么免费 VPN 和假 VPN 也可能成为攻击入口?
Rokarolla 伪装成 TikTok、Chrome 等热门应用。类似攻击也完全可能伪装成 VPN、加速器、代理工具、机场客户端。
原因很简单:VPN 类应用天然需要网络权限,用户也更容易接受它“需要一些特殊权限”的说法。
高风险信号包括:
| 信号 | 风险 |
|---|---|
| VPN 要求无障碍权限 | 非常可疑 |
| VPN 要求读取短信 | 非常可疑 |
| VPN 要求成为默认电话 App | 极高风险 |
| VPN 要求关闭 Play Protect | 高风险 |
| VPN 从群文件下载 | 来源不可控 |
| VPN 是破解版 | 可能被植入恶意代码 |
| VPN 无官网无隐私政策 | 无法信任 |
| VPN 安装后隐藏图标 | 高危行为 |
正规 VPN 一般不需要读取短信、控制电话、开启无障碍服务或成为默认短信应用。
365VPN 安全团队建议,VPN 只从官方渠道下载,不使用破解版、群文件、网盘安装包或未知第三方市场版本。
十三、普通用户安全检查清单
Android 用户可以按下面清单自查。
| 检查项 | 建议 |
|---|---|
| 最近是否安装过 APK | 删除来路不明安装包 |
| 是否开启未知来源安装 | 平时保持关闭 |
| 是否有陌生无障碍服务 | 立即关闭并排查 |
| 是否有陌生短信权限 | 立即撤销 |
| 是否有陌生通知读取权限 | 立即撤销 |
| 是否有陌生悬浮窗权限 | 立即撤销 |
| 是否有陌生设备管理员 | 立即移除 |
| Google Play Protect 是否开启 | 保持开启 |
| 银行 App 是否出现异常界面 | 停止输入密码并排查 |
| 剪贴板地址是否被替换 | 加密货币用户重点检查 |
| 是否使用短信 2FA | 高价值账号改用更强 MFA |
| VPN 是否来自官方渠道 | 不用破解或未知安装包 |
如果你无法判断设备是否干净,最稳妥的方式是备份重要文件后恢复出厂设置,并重新从官方渠道安装 App。
十四、365VPN 安全团队建议
Rokarolla 的危险性在于,它把多种 Android 银行木马能力组合在一起:伪装安装、无障碍服务滥用、覆盖层钓鱼、短信窃取、键盘记录、屏幕截图、剪贴板替换、来电拦截、隐藏图标和远程 C2 控制。
对普通用户来说,最重要的防线不是安装很多安全软件,而是改变安装和授权习惯。
建议牢记:
只从官方渠道下载 App。
不要安装陌生 APK。
不要给普通 App 开启无障碍服务。
不要把陌生 App 设为默认短信或电话应用。
不要关闭 Google Play Protect。
银行、交易所和邮箱不要只依赖短信验证码。
加密货币转账前核对地址。
公共 Wi-Fi 下使用 365VPN 加密连接。
VPN、钱包、交易所、浏览器都必须从官方渠道下载。
365VPN 可以帮助用户获得更安全的网络连接环境,降低公共网络劫持、DNS 干扰和不可信 Wi-Fi 风险。它不能阻止用户主动安装恶意 APK,也不能修复已经被木马接管的设备。因此,VPN 应和官方应用下载、权限管理、MFA、设备安全一起使用。
十五、结语
Rokarolla 再次提醒我们,移动端已经成为金融攻击的核心战场。攻击者不再只盯着电脑浏览器,也不只是发送钓鱼短信。他们会把恶意 App 包装成 TikTok、Chrome、系统更新、钱包、交易所、VPN 或加速器,诱导用户安装,再通过无障碍权限和覆盖层接管手机操作。
一旦手机被这类银行木马控制,短信验证码、银行登录、加密钱包、交易所、社交账号和邮箱都可能暴露。
365VPN 安全团队建议,把 Android 手机当作金融设备来保护。不要乱装 APK,不要乱授权,不要关闭安全检测,不要用免费或破解 VPN。使用 365VPN 保护网络连接,同时配合官方应用渠道、强 MFA、密码管理器、权限审计和设备安全设置,才能建立更完整的移动安全防线。