Пользователи Android, страдающие от Vultur Data Collecting RAT

андроид стервятник крыса вредоносное ПО Исследователи безопасности только что обнаружили нового троянца удаленного доступа (RAT) , который собирает данные с устройств на базе Android по всему миру. RAT, получивший название Vultur, способен собирать учетные данные для входа и банковские реквизиты и запускать удаленное выполнение кода (RCE) на любом зараженном устройстве.

Скрытый дьявол

В отличие от других форм вредоносных программ, которые для распространения обычно используют спам и рекламные ссылки, создатели Vultur решили дать RAT несколько вводящее в заблуждение название - «Protection Guard». Последний доступен в официальном магазине Google Play и с момента его создания был загружен более пяти тысяч раз. Хотя такой паразит может поразить миллионы устройств Android в мгновение ока, Vultur применил индивидуальный подход, ориентированный только на пользователей Android, которые установили хотя бы одно (или несколько) приложений для монетизации цифровых валют.

Первая угроза для Android, использующая VNC

Никогда прежде не существовало трояна, нацеленного на Android, который мог бы железной хваткой захватить мобильное устройство. Ключом к успеху Vultur как вредоносного ПО является использование виртуальных сетевых вычислений или VNC, которые позволяют RAT выполнять автоматическую запись с удаленного экрана и кейлоггеры. Таким образом, Vultur, похоже, наносит больше урона, чем его аналоги, основанные на оверлейных атаках, хотя последнее гораздо более распространено. При оверлейной атаке троянец, такой как Banker.BR , MysteryBot или Grandoreiro , создает поддельную страницу входа и загружает ее каждый раз, когда вы открываете свое подлинное банковское приложение для сбора паролей, имен пользователей и т. Д. например, Vultur будет записывать на видео все, что видит на экране. Для этого RAT должен получить разрешение цели на ведение журнала нажатий клавиш, просмотра веб-страниц, мультимедиа и т. Д. Он также перехватывает частное содержимое локальных серверов и устанавливает мост с активным C&C сервером.

Связи с Брунгильдой

Vultur RAT похож на печально известную вредоносную программу Brunhilda, поскольку обе они появляются в официальном магазине GooglePlay под видом простых инструментов оптимизации ПК. Однако эти инструменты часто запускают вредоносное ПО вместо исправления ошибок в вашей системе. И Vultur RAT, и Brunhilda разрабатывались с нуля, а не были взяты в аренду или куплены в Dark Web.