Vultur Android Malware

En ny Android -banktrojan er blevet opdaget af forskerne. De kaldte det Vultur og afslørede oplysninger om nogle af dets egenskaber, som ser ud til at blive brugt for første gang i en malware -trussel af denne type. Imidlertid er truslens endelige mål stadig at indhente bankoplysninger og andre følsomme brugeroplysninger og eksfiltrere dataene til cyberkriminelles server. Hidtil har Vultur målrettet applikationer fra bank- og kryptorelaterede enheder fra flere lande, med det primære fokus på Italien, Australien og Spanien.

Initial Attack Vector og kapaciteter

Vultur forklædte sig som en falsk sikkerhedsprogram ved navn 'Protection Guard', som kunne downloades i Google Play -butikken. Inden den blev taget ned, havde den truende app nået at samle omkring 5.000 downloads. Vultur er først inde i brugerens enhed og afslører sit sande skadelige potentiale.

I stedet for den typiske overlejringsangrebsmetode, der observeres i de fleste andre trojanske banker, anvender Vultur en ny teknik. Den anvender Virtual Network Computing (VNC) 's fjernskærmdelingsfunktioner til ulovligt at begynde at spore alle aktiviteter, der udføres på den kompromitterede enhed. For at lette fjernadgang til VNC-serveren, der kører lokalt på enheden, anvender truslen et værktøj på tværs af platforme kendt som 'ngrok'. Endelig, for at starte sine keylogging -rutiner, udnytter Vultur Accessibility Services på enheden, en almindelig adfærd forbundet med bank -trojanere.

Forholdet til en anden malware

Forskere opdagede også nogle forbindelser mellem Vultur og en tidligere påvist dråbetrussel ved navn Brunhilda. Dråben har været en del af flere dokumenterede usikre operationer og menes at blive tilbudt i en MaaS (Malware-as-a-Service) ordning. Det kan levere forskellige malwaretyper til offerets enheder og distribueres normalt via våbenprogrammer i Play Butik. Overlapningerne mellem de to trusler blev fundet inde i kildekoden og Command-and-Control (C2, C&C) infrastrukturen for angrebene.