Az Android RAT új törzse a banki és titkosítási szolgáltatásokat célozza meg
A mobilbiztonsági kutatók információkat tettek közzé egy korábban ismeretlen, Vultur névre keresztelt androidos rosszindulatú programról. A rosszindulatú program távoli hozzáférésű trójai programként működik, és visszaél a képernyőfelvétellel, hogy adatokat lopjon a banki és titkosítási alkalmazásokból.
A Vultur visszaél a VNC vagy virtuális hálózati számítástechnikai képernyőfelvételi és képernyőmegosztási képességekkel, hogy figyelemmel kísérje a fertőzött eszközök képernyőjén végzett tevékenységeket. A kutatók szerint a Vultur elsődleges célpontjai a banki és a titkosítási pénztárca kezeléséhez használt alkalmazások voltak, amelyek középpontjában az európai országok és Ausztrália áll.
Egy ideig a rosszindulatú programnak sikerült túlélnie az észlelést, és a hivatalos Google Play Áruházban terjesztették, egy "Protection Guard" nevű rosszindulatú alkalmazásba rejtve, amely a telefon biztonsági segítőjeként mutatkozott be. A rosszindulatú alkalmazásnak több mint 5 ezer letöltést sikerült elérnie.
Az különbözteti meg a Vulturt a hasonló RAT kártevőktől, hogy nem támaszkodik a hitelesítő adatokat kiszűrő HTML -fedvényekre. A kutatók megjegyezték, hogy az átfedési megközelítés általában "nagyobb idő- és erőfeszítést igényel". Ehelyett a Vultur a képernyőfelvételre és a keyloggingra támaszkodik, ami egyszerűbb és skálázhatóbb megközelítés.
Hagyományosan a banki rosszindulatú programok az alkalmazás eredeti felületének és bejelentkezési oldalának meggyőző újraalkotását használják, amely az eredeti alkalmazás tetején jelenik meg, és rögzíti a megadott hitelesítő adatokat. A kutatók úgy vélik, hogy a fenyegetés szereplői fokozatosan elhagyják ezt a megközelítést, és új, hatékonyabb módszereket próbálnak kitalálni a hitelesítő adatok ellopására.
A Vultur -t vizsgáló kutatók némi hasonlóságot találtak az új RAT és egy korábban létező, Brunhilda nevű Android kártevő között. A Brunhilda egy csepegtető, amelyet különböző végső hasznos teher elosztására használnak, a kutatók "csepegtető-mint-szolgáltatás" modellnek nevezik.
A lényeg egy megfigyelhető tendencia, és elmozdulás a hacker weboldalakon vásárolt trójai programoktól és a rossz színészektől, akik inkább a skálázhatóbb és jobban megfelelnek a speciális igényeknek. A Vultur -hoz hasonló rosszindulatú programok felépítése lehetővé teszi, hogy minden műveletet parancsfájlba foglaljanak és beépítsenek a háttérbe, és lehetővé tegyék a könnyebb ütközést és futtatást.