Vultur Android 恶意软件
研究人员发现了一种新的 Android 银行木马。他们将其命名为 Vultur 并披露了有关其某些特征的信息,这些特征似乎首次用于此类恶意软件威胁。然而,威胁的最终目标仍然是获取银行凭证和其他敏感的用户信息,并将数据泄露到网络犯罪分子的服务器。到目前为止,Vultur 的目标是来自多个国家的银行和加密相关实体的应用,主要关注意大利、澳大利亚和西班牙。
初始攻击向量和能力
Vultur 伪装成一个名为“Protection Guard”的虚假安全应用程序,可在 Google Play 商店下载。在下架之前,这款具有威胁性的应用程序已经成功获得了大约 5,000 次下载。一旦进入用户的设备,Vultur 就会揭示其真正的潜在危害。
Vultur 采用了一种新技术,而不是在大多数其他银行木马中观察到的典型覆盖攻击方法。它使用虚拟网络计算 (VNC) 的远程屏幕共享功能来非法开始跟踪在受感染设备上进行的所有活动。为了便于远程访问在设备本地运行的 VNC 服务器,该威胁部署了一个名为“ngrok”的跨平台实用程序。最后,为了启动其键盘记录程序,Vultur 会利用设备上的辅助功能服务,这是与银行木马相关的常见行为。
与另一个恶意软件的关系
研究人员还发现了 Vultur 与之前检测到的名为 Brunhilda 的 dropper 威胁之间的一些联系。 dropper 是几个记录在案的不安全操作的一部分,据信是在 MaaS(恶意软件即服务)方案中提供的。它可以向受害者的设备传送不同类型的恶意软件,并且通常通过 Play 商店中的武器化应用程序进行分发。在源代码和攻击的命令与控制(C2、C&C)基础设施中发现了两种威胁之间的重叠。
