Vultur Android 惡意軟件
研究人員發現了一種新的 Android 銀行木馬。他們將其命名為 Vultur 並披露了有關其某些特徵的信息,這些特徵似乎首次用於此類惡意軟件威脅。然而,威脅的最終目標仍然是獲取銀行憑證和其他敏感的用戶信息,並將數據洩露到網絡犯罪分子的服務器。到目前為止,Vultur 的目標是來自多個國家的銀行和加密相關實體的應用,主要關注意大利、澳大利亞和西班牙。
初始攻擊向量和能力
Vultur 偽裝成一個名為“Protection Guard”的虛假安全應用程序,可在 Google Play 商店下載。在下架之前,這款具有威脅性的應用程序已成功獲得約 5,000 次下載。一旦進入用戶的設備,Vultur 就會揭示其真正的潛在危害。
Vultur 採用了一種新技術,而不是在大多數其他銀行木馬中觀察到的典型覆蓋攻擊方法。它使用虛擬網絡計算 (VNC) 的遠程屏幕共享功能來非法開始跟踪在受感染設備上進行的所有活動。為了便於遠程訪問在設備本地運行的 VNC 服務器,該威脅部署了一個名為“ngrok”的跨平台實用程序。最後,為了啟動其鍵盤記錄程序,Vultur 會利用設備上的輔助功能服務,這是與銀行木馬相關的常見行為。
與另一個惡意軟件的關係
研究人員還發現了 Vultur 與之前檢測到的名為 Brunhilda 的 dropper 威脅之間的一些聯繫。 dropper 是幾個記錄在案的不安全操作的一部分,據信是在 MaaS(惡意軟件即服務)方案中提供的。它可以向受害者的設備傳送不同類型的惡意軟件,並且通常通過 Play 商店上的武器化應用程序進行分發。在源代碼和攻擊的命令與控制(C2、C&C)基礎設施中發現了兩種威脅之間的重疊。
