IT 之家 6 月 19 日消息，安全公司 Zimperium 于 6 月 17 日发布博文，报告称其 zLabs 团队发现名为 Rokarolla 的新型安卓银行木马，通过伪装成 TikTok 或者 Chrome 传播，具备完整的设备接管能力。

IT 之家援引博文介绍，Rokarolla 主要通过恶意网站（如 hxxps [ :// ] infocontablidades [ . ] it [ . ] com/）传播，伪装成 TikTok 或 Google Chrome 等流行应用，诱导用户安装。用户设备一旦感染，该木马可对 217 个加密货币和银行应用发起攻击，实现完整的设备接管。

Rokarolla 具备 137 条高级命令，可全面控制受感染设备。其恶意功能包括：窃取锁屏凭证（PIN 码、图案、密码）、窃取联系人列表和短信数据、使用键盘记录器持续监控用户输入。为隐藏自身操作，Rokarolla 会拦截来电、部署虚假屏幕叠加层、禁用设备音频并终止 Google Play Protect。

Rokarolla 的核心攻击手段是叠加虚假屏幕层。在用户打开目标银行或加密货币应用后，木马从 C2 服务器获取伪造的 HTML 登录页面，并将其叠加在真实应用之上，窃取用户输入的账户凭证或信用卡信息。此外，木马还会使用叠加层隐藏后台操作，阻止用户干预。

该木马滥用安卓辅助功能 ( 无障碍服务 ) 解析屏幕 UI 节点，窃取 WhatsApp 联系人信息。同时，它可窃取所有短信内容并代表受害者发送短信，用于拦截银行 OTP。Rokarolla 还能拦截和屏蔽电话，防止用户接收银行的欺诈警报。

为躲避检测，Rokarolla 会隐藏应用图标、禁用设备音频和振动，并强制屏幕常亮。它还尝试禁用 Google Play Protect，并采用混淆和加壳技术（JSONPacker）隐藏代码。