一种名为Rokarolla的新型Android银行木马被发现，它利用137条指令瞄准217款银行和加密货币应用。该恶意软件通过伪装成Google Chrome或TikTok下载页面的恶意网站传播。一旦安装，它会请求无障碍服务权限及其他敏感权限，从而对受感染设备获得近乎完全的管理控制。 Rokarolla首先对设备进行配置分析，并为每个受害者生成唯一标识符。其主要目标是窃取金融数据：它检查已安装的应用是否在217个目标列表中，并显示伪造的登录覆盖层来窃取登录凭据、信用卡信息及其他金融数据。此外，它还能窃取锁屏凭据、联系人列表、短信数据，并利用键盘记录器持续记录用户输入。 规避策略包括禁用Google Play保护、隐藏图标、静音和振动以及保持屏幕常亮。Zimperium研究人员发现该恶意软件未出现在Google Play上；建议用户避免侧载APK，并在授予无障碍服务权限时保持谨慎。

关键事实

• Rokarolla使用137条指令瞄准217款银行和加密货币应用。
• 通过虚假的Google Chrome或TikTok下载网站传播。
• 利用覆盖层和键盘记录器窃取登录凭据、短信、联系人和锁屏数据。
• 禁用Google Play保护并隐藏图标以规避检测。
• 未在Google Play上发现；建议用户避免侧载APK。