Ny stam af Android RAT målretter bank og krypto

Mobilsikkerhedsforskere offentliggjorde oplysninger om en tidligere ukendt Android -malware, kaldet Vultur. Malwaren fungerer som en fjernadgangstrojan og misbruger skærmoptagelse for at stjæle data fra bank- og krypto -applikationer.

Vultur misbruger VNC eller virtuelt netværk computing skærmoptagelse og skærmdeling for at overvåge aktivitet på skærmene på inficerede enheder. Vulturs primære mål, ifølge forskere, var applikationer, der blev brugt til bank- og krypto -tegnebogshåndtering, med fokus på europæiske lande og Australien.

I et stykke tid lykkedes det malware at overleve opdagelse og blev distribueret i den officielle Google Play Store, gemt i en ondsindet app kaldet "Protection Guard", der udgjorde sig som en telefonsikkerhedshjælper. Den ondsindede app formåede at score over 5 tusinde downloads.

Det, der adskiller Vultur fra lignende RAT -malware, er, at den ikke er afhængig af HTML -overlejringer, der eksfiltrerer legitimationsoplysninger. Forskere bemærkede, at overlay -metoden normalt kræver "en større tid og kræfterinvestering". I stedet er Vultur afhængig af skærmoptagelse og keylogging, hvilket er en lettere og mere skalerbar tilgang.

Traditionelt ville bank -malware bruge en overbevisende genskabelse af den originale grænseflade og login -side i en app, der vises oven på den originale app, og registrere alle indtastede legitimationsoplysninger. Forskere mener, at trusselsaktører gradvist opgiver denne tilgang og forsøger at finde ud af nye, mere effektive måder at stjæle legitimationsoplysninger på.

Forskerne, der undersøgte Vultur, fandt også nogle ligheder mellem den nye RAT og et tidligere eksisterende stykke Android -malware ved navn Brunhilda. Brunhilda er en dropper, der bruges til at distribuere forskellige endelige nyttelast, i hvad forskere kalder "dropper-as-a-service" -model.

Bundlinjen er en observerbar trend og skub til at bevæge sig væk fra trojanere købt på hackerwebsteder og dårlige aktører, der fokuserer mere på malware, der er mere skalerbar og bedre tilpasset deres specifikke behov. Strukturen af malware som Vultur tillader alle handlinger at blive scriptet og indbygget i backend og muliggøre lettere hit and run -angreb.