Użytkownicy Androida nękani przez RAT zbierający dane Vultur

złośliwe oprogramowanie android sęp szczur Badacze bezpieczeństwa wykryli właśnie nowego trojana zdalnego dostępu (RAT) , który zbiera dane z urządzeń z systemem Android na całym świecie. Nazwany Vultur, RAT jest w stanie zbierać dane logowania i dane bankowe oraz uruchamiać zdalne wykonanie kodu (RCE) na dowolnym zainfekowanym urządzeniu.

Diabeł w przebraniu

W przeciwieństwie do innych form złośliwego oprogramowania, których rozprzestrzenianie się zazwyczaj opiera się na spamie i linkach sponsorowanych, twórcy Vultura zdecydowali się nadać RAT nieco mylącą nazwę — „Ochrona". Ten ostatni jest dostępny w oficjalnym sklepie Google Play i został pobrany ponad pięć tysięcy razy od momentu jego powstania. Podczas gdy taki pasożyt może dotrzeć do milionów urządzeń z Androidem w mgnieniu oka, Vultur przyjął niestandardowe podejście polegające na atakowaniu tylko użytkowników Androida, którzy zainstalowali co najmniej jedną (lub więcej) aplikację do bicia cyfrowej waluty.

Pierwsze zagrożenie dla Androida wykorzystujące VNC

Nigdy wcześniej nie było trojana wymierzonego w system Android, który byłby w stanie przejąć żelazny uścisk na urządzeniu mobilnym. Kluczem do sukcesu Vultura jako złośliwego oprogramowania jest wykorzystanie technologii Virtual Network Computing (VNC), która pozwala RAT na przeprowadzanie automatycznego zdalnego nagrywania ekranu i rejestrowania klawiszy. Tak więc Vultur wydaje się zadawać więcej obrażeń niż jego odpowiedniki oparte na atakach nakładkowych, mimo że ten drugi jest znacznie bardziej powszechny. W ataku typu overlay trojan, taki jak Banker.BR, MysteryBot lub Grandoreiro, utworzy fałszywą stronę logowania i ładuje ją za każdym razem, gdy otwierasz prawdziwą aplikację bankową w celu zbierania haseł, nazw użytkowników itp. W ataku VNC trojan taki jak Vultur nagra wideo tego, co zobaczy na ekranie. Aby to zrobić, RAT musi uzyskać zgodę celu na prowadzenie dziennika naciśnięć klawiszy, przeglądania sieci, multimediów itp. Przechwytuje również prywatną zawartość serwerów lokalnych i tworzy most z aktywnym serwerem C&C.

Połączenia z Brunhildą

Vultur RAT jest podobny do niesławnego szkodliwego oprogramowania Brunhilda, ponieważ oba pojawiają się w oficjalnym sklepie Google Play pod maską prostych narzędzi do optymalizacji komputera. Narzędzia te jednak często uruchamiają złośliwe oprogramowanie zamiast naprawiać błędy w systemie. Zarówno Vultur RAT, jak i Brunhilda rozwinęły się od zera, a nie wynajmowały lub kupowały z Dark Web.