Vultur Android Malware

Исследователи обнаружили новый банковский троян для Android. Они назвали его Vultur и раскрыли информацию о некоторых его характеристиках, которые, по всей видимости, впервые используются в вредоносных программах такого типа. Однако конечной целью угрозы по-прежнему является получение банковских учетных данных и другой конфиденциальной информации о пользователях и их пересылка на сервер киберпреступников. Пока что Vultur нацелен на приложения банковских и связанных с криптовалютами организаций из нескольких стран, с основным упором на Италию, Австралию и Испанию.

Исходный вектор атаки и возможности

Vultur замаскировался под поддельное приложение безопасности под названием «Protection Guard», которое было доступно для загрузки в магазине Google Play. До того, как оно было закрыто, угрожающее приложение успело скачали около 5000 раз. Попав внутрь устройства пользователя, Vultur раскрывает свой истинный вредный потенциал.

Вместо типичного метода оверлейной атаки, наблюдаемого в большинстве других банковских троянов, Vultur использует новую технику. Он использует возможности удаленного совместного использования экрана Virtual Network Computing (VNC), чтобы незаконно начать отслеживать все действия, выполняемые на взломанном устройстве. Чтобы облегчить удаленный доступ к серверу VNC, который работает локально на устройстве, угроза развертывает кроссплатформенную утилиту, известную как «ngrok». Наконец, для запуска своих подпрограмм кейлоггера Vultur использует службы доступности на устройстве - обычное поведение, связанное с банковскими троянами.

Связь с другим вредоносным ПО

Исследователи также обнаружили некоторые связи между Vultur и ранее обнаруженной угрозой-дроппером по имени Brunhilda. Дроппер был частью нескольких задокументированных небезопасных операций и, как полагают, предлагается по схеме MaaS (Malware-as-a-Service). Он может доставлять различные типы вредоносных программ на устройства жертвы и обычно распространяется через оружейные приложения в Play Store. Перекрытия между двумя угрозами были обнаружены в исходном коде и инфраструктуре командования и управления (C2, C&C) атак.