Vultur Android Malware

Vultur Android Malware Açıklama

Araştırmacılar tarafından yeni bir Android bankacılık Truva atı keşfedildi. Vultur adını verdiler ve bu tür bir kötü amaçlı yazılım tehdidinde ilk kez kullanılmış gibi görünen bazı özellikleri hakkında bilgi verdiler. Ancak tehdidin nihai hedefi, bankacılık kimlik bilgilerini ve diğer hassas kullanıcı bilgilerini elde etmek ve verileri siber suçluların sunucusuna sızdırmaktır. Şimdiye kadar Vultur, birincil odak noktası İtalya, Avustralya ve İspanya olmak üzere çeşitli ülkelerden bankacılık ve kripto ile ilgili kuruluşların uygulamalarını hedefliyor.

İlk Saldırı Vektörü ve Yetenekleri

Vultur, Google Play mağazasında indirilebilen 'Koruma Görevlisi' adlı sahte bir güvenlik uygulaması olarak kendini gizledi. Kaldırılmadan önce, tehditkar uygulama yaklaşık 5.000 indirme toplamayı başarmıştı. Vultur, kullanıcının cihazına girdiğinde gerçek zararlı potansiyelini ortaya çıkarır.

Vultur, diğer bankacılık Truva atlarının çoğunda gözlemlenen tipik bindirmeli saldırı yöntemi yerine yeni bir teknik kullanır. Güvenliği ihlal edilmiş cihazda yürütülen tüm etkinlikleri yasa dışı bir şekilde izlemeye başlamak için Sanal Ağ Bilgi İşlem (VNC)'nin uzaktan ekran paylaşım özelliklerini kullanır. Cihazda yerel olarak çalışan VNC sunucusuna uzaktan erişimi kolaylaştırmak için tehdit, 'ngrok' olarak bilinen platformlar arası bir yardımcı program kullanır. Son olarak, tuş günlüğü rutinlerini başlatmak için Vultur, bankacılık Truva atlarıyla ilişkili yaygın bir davranış olan cihazdaki Erişilebilirlik Hizmetlerinden yararlanır.

Başka Bir Kötü Amaçlı Yazılımla İlişkisi

Araştırmacılar ayrıca Vultur ile Brunhilda adlı önceden tespit edilmiş bir damlalık tehdidi arasında bazı bağlantılar keşfettiler. Damlalık, belgelenmiş birkaç güvenli olmayan işlemin bir parçası olmuştur ve bir MaaS (Hizmet Olarak Kötü Amaçlı Yazılım) şemasında sunulduğuna inanılmaktadır. Kurbanın cihazlarına farklı kötü amaçlı yazılım türleri gönderebilir ve genellikle Play Store'daki silahlı uygulamalar aracılığıyla dağıtılır. Saldırıların kaynak kodunda ve Komuta Kontrol (C2, C&C) altyapısında iki tehdit arasındaki örtüşmeler tespit edildi.