Android-gebruikers geplaagd door de Vultur-gegevensverzameling RAT

Android Gier Rat-malware Beveiligingsonderzoekers hebben zojuist een nieuwe Remote Access Trojan (RAT) ontdekt die gegevens verzamelt van Android-apparaten over de hele wereld. De RAT, genaamd Vultur, is in staat om inloggegevens en bankgegevens te verzamelen en remote code-uitvoering (RCE) op elk geïnfecteerd apparaat te activeren.

Een duivel in vermomming

In tegenstelling tot andere vormen van malware die doorgaans afhankelijk zijn van spam en gesponsorde links om zich te verspreiden, hebben de makers van Vultur besloten de RAT een enigszins misleidende naam te geven: 'Protection Guard'. De laatste staat in de officiële Google Play Store en is sinds de oprichting meer dan vijfduizend keer gedownload. Hoewel een dergelijke parasiet in een oogwenk miljoenen Android-apparaten zou kunnen bereiken, heeft Vultur een aangepaste benadering aangenomen om zich alleen te richten op Android-gebruikers die ten minste één (of meer) digitale valuta-muntapplicatie hebben geïnstalleerd.

De eerste Android-bedreiging die VNC gebruikt

Nooit eerder was er een op Android gerichte Trojan die een ijzeren greep kon krijgen op een mobiel apparaat. De sleutel tot het succes van Vultur als malware is het gebruik van Virtual Network Computing, of VNC, waarmee de RAT geautomatiseerde schermopnames en keylogging op afstand kan uitvoeren. Vultur lijkt dus meer schade aan te richten dan zijn op overlay-aanvallen gebaseerde tegenhangers, hoewel dit laatste veel vaker voorkomt. Bij een overlay-aanval zal een Trojaans paard zoals Banker.BR , MysteryBot of Grandoreiro een valse inlogpagina maken en deze elke keer laden als u uw echte banktoepassing opent om wachtwoorden, gebruikersnamen, enz. te verzamelen. Bij een VNC-aanval kan een Trojaans paard zoals Vultur maakt een video-opname van alles wat het op het scherm ziet. Om dat te doen, moet de RAT de toestemming van het doelwit krijgen om een logboek bij te houden van toetsaanslagen, surfen op het web, multimedia, enz. Het vangt ook de privé-inhoud van de lokale servers en zet een brug op met een actieve C&C-server.

Verbindingen met Brunhilda

De Vultur RAT is vergelijkbaar met de beruchte Brunhilda-malware, aangezien beide in de officiële GooglePlay Store verschijnen, gemaskeerd als eenvoudige pc-optimalisatietools. Die tools hebben echter vaak de neiging om malware uit te voeren in plaats van de bugs op uw systeem te repareren. Zowel de Vultur RAT als de Brunhilda zijn helemaal opnieuw ontwikkeld in plaats van gehuurd of gekocht van het Dark Web.