Vultur Android Malware

Vultur Android Malware Opis

Badacze wykryli nowego trojana bankowego dla Androida. Nazwali go Vultur i ujawnili informacje o niektórych jego cechach, które wydają się być wykorzystywane po raz pierwszy w tego typu zagrożeniu złośliwym oprogramowaniem. Jednak ostatecznym celem zagrożenia jest nadal uzyskanie danych uwierzytelniających bank i innych poufnych informacji o użytkowniku oraz eksfiltracja danych na serwer cyberprzestępców. Jak dotąd Vultur jest ukierunkowany na aplikacje bankowe i podmioty związane z kryptowalutami z kilku krajów, skupiając się przede wszystkim na Włoszech, Australii i Hiszpanii.

Początkowy wektor ataku i możliwości

Vultur przebrał się za fałszywą aplikację zabezpieczającą o nazwie „Protection Guard”, którą można było pobrać w sklepie Google Play. Przed usunięciem groźnej aplikacji udało się zgromadzić około 5000 pobrań. Po wejściu do urządzenia użytkownika Vultur ujawnia swój prawdziwy szkodliwy potencjał.

Zamiast typowej metody ataku typu overlay obserwowanej w większości innych trojanów bankowych, Vultur stosuje nową technikę. Wykorzystuje możliwości zdalnego udostępniania ekranu Virtual Network Computing (VNC), aby nielegalnie rozpocząć śledzenie wszystkich działań przeprowadzanych na zaatakowanym urządzeniu. Aby ułatwić zdalny dostęp do serwera VNC działającego lokalnie na urządzeniu, zagrożenie wdraża wieloplatformowe narzędzie znane jako „nrok”. Wreszcie, aby zainicjować procedury keyloggera, Vultur wykorzystuje na urządzeniu usługi ułatwień dostępu, co jest powszechnym zachowaniem związanym z trojanami bankowymi.

Związek z innym złośliwym oprogramowaniem

Badacze odkryli również pewne powiązania między Vultur a wcześniej wykrytym zagrożeniem dropper o nazwie Brunhilda. Dropper był częścią kilku udokumentowanych niebezpiecznych operacji i uważa się, że jest oferowany w ramach schematu MaaS (Malware-as-a-Service). Może dostarczać różne typy złośliwego oprogramowania na urządzenia ofiary i jest zwykle dystrybuowane za pośrednictwem uzbrojonych aplikacji w Sklepie Play. Nakładanie się tych dwóch zagrożeń wykryto w kodzie źródłowym i infrastrukturze Command-and-Control (C2, C&C) ataków.