Rokarolla 具备 137 条高级命令，可全面控制受感染设备。其恶意功能包括：窃取锁屏凭证、窃取联系人列表和短信数据、使用键盘记录器持续监控用户输入。为隐藏自身操作，Rokarolla 会拦截来电、部署虚假屏幕叠加层、禁用设备音频并终止 Google Play Protect。

　　Rokarolla 的核心攻击手段是叠加虚假屏幕层。在用户打开目标银行或加密货币应用后，木马从 C2 服务器获取伪造的 HTML 登录页面，并将其叠加在真实应用之上，窃取用户输入的账户凭证或信用卡信息。此外，木马还会使用叠加层隐藏后台操作，阻止用户干预。

　　该木马滥用安卓辅助功能 解析屏幕 UI 节点，窃取 WhatsApp 联系人信息。同时，它可窃取所有短信内容并代表受害者发送短信，用于拦截银行 OTP。Rokarolla 还能拦截和屏蔽电话，防止用户接收银行的欺诈警报。

　　为躲避检测，Rokarolla 会隐藏应用图标、禁用设备音频和振动，并强制屏幕常亮。它还尝试禁用 Google Play Protect，并采用混淆和加壳技术隐藏代码。