受 Vultur 數據收集 RAT 困擾的 Android 用戶

安卓禿鷲惡意軟件安全研究人員剛剛發現了一種新的遠程訪問木馬 (RAT) ,該木馬一直在從全球基於 Android 的設備中收集數據。被稱為 Vultur 的 RAT 能夠收集登錄憑據和銀行詳細信息,並在任何受感染的設備上觸發遠程代碼執行 (RCE)。

偽裝的惡魔

與通常依賴垃圾郵件和讚助商鏈接進行傳播的其他形式的惡意軟件不同,Vultur 的創建者決定給 RAT 取一個有點誤導的名稱——"保護衛士"。後者已在官方 Google Play 商店上架,自推出以來已被下載超過五千次。雖然這種寄生蟲可以在眨眼間到達數百萬台 Android 設備,但 Vultur 採用了一種定制方法,只針對安裝了至少一個(或多個)數字貨幣鑄造應用程序的 Android 用戶。

第一個利用 VNC 的 Android 威脅

以前從未有過針對 Android 的特洛伊木馬程序能夠牢牢控制移動設備。 Vultur 作為惡意軟件成功的關鍵是使用虛擬網絡計算 (VNC),它允許 RAT 執行自動遠程屏幕錄製和鍵盤記錄。因此,Vultur 似乎比基於疊加攻擊的同類產品造成的傷害更大,儘管後者更為常見。在覆蓋攻擊中,諸如Banker.BR 、MysteryBot 或Grandoreiro 之類的木馬會創建一個虛假的登錄頁面,並在您每次打開真正的銀行應用程序以收集密碼、用戶名等時加載它。在 VNC 攻擊中,木馬例如 Vultur 會對它在屏幕上看到的任何內容進行視頻錄製。為此,RAT 需要獲得目標的許可,以保留擊鍵、Web 瀏覽、多媒體等的日誌。它還捕獲本地服務器的私有內容,並與活動的 C&C 服務器建立橋接。

與布倫希爾達的聯繫

Vultur RAT 類似於臭名昭著的 Brunhilda 惡意軟件,因為兩者都出現在官方 GooglePlay 商店中,偽裝成簡單的 PC 優化工具。然而,這些工具往往傾向於執行惡意軟件,而不是修復系統上的錯誤。 Vultur RAT 和 Brunhilda 都是從零開始開發的,而不是從暗網租借或購買。