AndroidRATの新株は銀行と暗号をターゲットにしています
モバイルセキュリティの研究者は、Vulturと呼ばれるこれまで知られていなかったAndroidマルウェアに関する情報を公開しました。このマルウェアはリモートアクセス型トロイの木馬として機能し、画面の記録を悪用して銀行や暗号化アプリケーションからデータを盗みます。
Vulturは、VNCまたは仮想ネットワークコンピューティングの画面記録および画面共有機能を悪用して、感染したデバイスの画面上のアクティビティを監視します。研究者によると、Vulturの主なターゲットは、ヨーロッパ諸国とオーストラリアに焦点を当てた、銀行業務と暗号通貨ウォレットの管理に使用されるアプリケーションでした。
しばらくの間、マルウェアは検出を生き延び、公式のGoogle Playストアで配布され、「Protection Guard」と呼ばれる悪意のあるアプリに隠され、電話のセキュリティヘルパーを装いました。悪意のあるアプリは、なんとか5000回以上のダウンロードを記録しました。
Vulturが同様のRATマルウェアと異なる点は、クレデンシャルを盗み出すHTMLオーバーレイに依存していないことです。研究者は、オーバーレイアプローチは通常「より多くの時間と労力の投資」を必要とすることを指摘しました。代わりに、Vulturは画面の記録とキーロガーに依存しています。これはより簡単でスケーラブルなアプローチです。
従来、バンキングマルウェアは、元のアプリの上に表示されるアプリの元のインターフェースとログインページを説得力のある形で再現し、入力されたクレデンシャルをキャプチャしていました。研究者は、脅威アクターがこのアプローチを徐々に放棄し、資格情報を盗むための新しい、より効率的な方法を見つけようとしていると信じています。
Vulturを調査した研究者は、新しいRATとBrunhildaという名前の既存のAndroidマルウェアとの間にいくつかの類似点があることも発見しました。 Brunhildaは、さまざまな最終ペイロードを配布するために使用されるドロッパーであり、研究者は「サービスとしてのドロッパー」モデルと呼んでいます。
結論は観察可能な傾向であり、ハッカーのWebサイトで購入したトロイの木馬や、よりスケーラブルで特定のニーズにより適したマルウェアに焦点を当てた悪意のある攻撃者から離れようとしています。 Vulturのようなマルウェアの構造により、すべてのアクションをスクリプト化してバックエンドに組み込むことができ、ヒットアンドラン攻撃が容易になります。