Ny stamme av Android RAT målretter bank og krypto

Mobilsikkerhetsforskere publiserte informasjon om en tidligere ukjent Android -skadelig programvare, kalt Vultur. Skadelig programvare fungerer som en trojan for ekstern tilgang og misbruker skjermopptak for å stjele data fra bank- og krypto -applikasjoner.

Vultur misbruker VNC- eller virtuelt nettverksberegning av skjermopptak og skjermdeling for å overvåke aktivitet på skjermene til infiserte enheter. Vulturs primære mål, ifølge forskere, var applikasjoner som ble brukt til bank- og kryptolommebokshåndtering, med fokus på europeiske land og Australia.

For en stund klarte skadelig programvare å overleve oppdagelsen og ble distribuert på den offisielle Google Play -butikken, gjemt i en ondsinnet app kalt "Protection Guard", som utgjorde en telefonsikkerhetshjelper. Den ondsinnede appen klarte å score over 5000 nedlastinger.

Det som skiller Vultur fra lignende RAT -skadelig programvare er at den ikke er avhengig av HTML -overlegg som eksfiltrerer legitimasjon. Forskere bemerket at overlay -tilnærmingen vanligvis krever "en større tid og innsatsinvestering". I stedet er Vultur avhengig av skjermopptak og keylogging, som er en enklere og mer skalerbar tilnærming.

Tradisjonelt vil banktjenester bruke en overbevisende gjenskapning av det opprinnelige grensesnittet og påloggingssiden til en app som vises på toppen av den opprinnelige appen, og fange opp eventuelle legitimasjoner. Forskere mener at trusselaktører gradvis forlater denne tilnærmingen og prøver å finne ut nye, mer effektive måter å stjele legitimasjon på.

Forskerne som undersøkte Vultur fant også noen likheter mellom den nye RAT og en tidligere eksisterende Android -malware som heter Brunhilda. Brunhilda er en dropper som brukes til å distribuere forskjellige endelige nyttelaster, i det forskere kaller "dropper-as-a-service" -modell.

Poenget er en observerbar trend og press for å bevege oss bort fra trojanere kjøpt på hacker -nettsteder og dårlige aktører som fokuserer mer på skadelig programvare som er mer skalerbar og bedre tilpasset deres spesifikke behov. Strukturen av skadelig programvare som Vultur gjør at alle handlinger kan skriptes og bygges inn i backend og muliggjøre enklere hit and run -angrep.