受 Vultur 数据收集 RAT 困扰的 Android 用户

安全研究人员刚刚发现了一种新的远程访问木马 (RAT) ，该木马一直在从全球基于 Android 的设备中收集数据。被称为 Vultur 的 RAT 能够收集登录凭据和银行详细信息，并在任何受感染的设备上触发远程代码执行 (RCE)。

伪装的恶魔

与通常依赖垃圾邮件和赞助商链接进行传播的其他形式的恶意软件不同，Vultur 的创建者决定给 RAT 取一个有点误导的名称——"保护卫士"。后者已在官方 Google Play 商店上架，自推出以来已被下载超过五千次。虽然这种寄生虫可以在眨眼间到达数百万台 Android 设备，但 Vultur 采用了一种定制方法，只针对安装了至少一个（或多个）数字货币铸造应用程序的 Android 用户。

第一个利用 VNC 的 Android 威胁

以前从未有过针对 Android 的特洛伊木马程序能够牢牢控制移动设备。 Vultur 作为恶意软件成功的关键是使用虚拟网络计算 (VNC)，它允许 RAT 执行自动远程屏幕录制和键盘记录。因此，Vultur 似乎比基于叠加攻击的同类产品造成的伤害更大，尽管后者更为常见。在覆盖攻击中，诸如Banker.BR 、MysteryBot 或Grandoreiro 之类的木马会创建一个虚假的登录页面，并在您每次打开真正的银行应用程序以收集密码、用户名等时加载它。在 VNC 攻击中，木马例如 Vultur 会对它在屏幕上看到的任何内容进行视频录制。为此，RAT 需要获得目标的许可，以保留击键、Web 浏览、多媒体等的日志。它还捕获本地服务器的私有内容，并与活动的 C&C 服务器建立桥接。

与布伦希尔达的联系

Vultur RAT 类似于臭名昭著的 Brunhilda 恶意软件，因为两者都出现在官方 GooglePlay 商店中，伪装成简单的 PC 优化工具。然而，这些工具往往倾向于执行恶意软件，而不是修复系统上的错误。 Vultur RAT 和 Brunhilda 都是从零开始开发的，而不是从暗网租借或购买。