New Strain of Android RAT Targets Banking and Crypto

Οι ερευνητές ασφάλειας για κινητά δημοσίευσαν πληροφορίες σχετικά με ένα άγνωστο προηγουμένως κακόβουλο λογισμικό Android, που ονομάστηκε Vultur. Το κακόβουλο λογισμικό λειτουργεί ως trojan απομακρυσμένης πρόσβασης και καταχράται την εγγραφή οθόνης για να κλέψει δεδομένα από τραπεζικές και κρυπτογραφικές εφαρμογές.

Η Vultur καταχράται τις δυνατότητες καταγραφής και κοινής χρήσης οθόνης VNC ή εικονικού δικτύου για την παρακολούθηση της δραστηριότητας στις οθόνες μολυσμένων συσκευών. Οι πρωταρχικοί στόχοι του Vultur, σύμφωνα με τους ερευνητές, ήταν εφαρμογές που χρησιμοποιούνται για τη διαχείριση τραπεζών και κρυπτοφώνων, με επίκεντρο τις ευρωπαϊκές χώρες και την Αυστραλία.

Για λίγο το κακόβουλο λογισμικό κατάφερε να επιβιώσει από τον εντοπισμό και διανεμήθηκε στο επίσημο Google Play Store, τοποθετημένο σε μια κακόβουλη εφαρμογή που ονομάζεται "Protection Guard", που παρουσιάζεται ως βοηθός ασφάλειας τηλεφώνου. Η κακόβουλη εφαρμογή κατάφερε να σημειώσει πάνω από 5 χιλιάδες λήψεις.

Αυτό που ξεχωρίζει το Vultur από παρόμοιο κακόβουλο λογισμικό RAT είναι ότι δεν βασίζεται σε επικαλύψεις HTML που απομακρύνουν τα διαπιστευτήρια. Οι ερευνητές σημείωσαν ότι η προσέγγιση επικάλυψης απαιτεί συνήθως "μεγαλύτερη επένδυση χρόνου και προσπάθειας". Αντ 'αυτού, το Vultur βασίζεται στην εγγραφή οθόνης και στο κλείσιμο πλήκτρων, που είναι μια ευκολότερη και πιο κλιμακούμενη προσέγγιση.

Παραδοσιακά, το τραπεζικό κακόβουλο λογισμικό θα χρησιμοποιούσε μια πειστική αναψυχή της αρχικής διεπαφής και της σελίδας σύνδεσης μιας εφαρμογής που εμφανίζεται πάνω από την αρχική εφαρμογή, καταγράφοντας τυχόν διαπιστευτήρια που έχουν εισαχθεί. Οι ερευνητές πιστεύουν ότι οι φορείς απειλής εγκαταλείπουν σταδιακά αυτήν την προσέγγιση και προσπαθούν να βρουν νέους, πιο αποτελεσματικούς τρόπους για να κλέψουν διαπιστευτήρια.

Οι ερευνητές που εξέτασαν το Vultur διαπίστωσαν επίσης ορισμένες ομοιότητες μεταξύ του νέου RAT και ενός προηγουμένως υπάρχοντος τμήματος κακόβουλου λογισμικού Android με το όνομα Brunhilda. Το Brunhilda είναι ένα σταγονόμετρο που χρησιμοποιείται για τη διανομή διαφορετικών τελικών ωφέλιμων φορτίων, σε αυτό που οι ερευνητές αποκαλούν μοντέλο "σταγονόμετρο ως υπηρεσία".

Η ουσία είναι μια παρατηρήσιμη τάση και ώθηση για να απομακρυνθείτε από τα trojans που αγοράζονται σε ιστότοπους χάκερ και τους κακούς ηθοποιούς που εστιάζουν περισσότερο σε κακόβουλο λογισμικό που είναι πιο κλιμακούμενο και ταιριάζει καλύτερα στις συγκεκριμένες ανάγκες τους. Η δομή κακόβουλου λογισμικού όπως το Vultur επιτρέπει σε όλες τις ενέργειες να είναι σεναριακές και να ενσωματώνονται στο backend και να επιτρέπουν ευκολότερες επιθέσεις χτυπήματος και εκτέλεσης.