Nowa odmiana Androida RAT celuje w bankowość i krypto
Badacze bezpieczeństwa mobilnego opublikowali informacje na temat wcześniej nieznanego złośliwego oprogramowania na Androida, nazwanego Vultur. Szkodnik działa jak trojan zdalnego dostępu i wykorzystuje nagrywanie ekranu do kradzieży danych z aplikacji bankowych i kryptograficznych.
Vultur nadużywa funkcji VNC lub wirtualnej sieci komputerowej do nagrywania i udostępniania ekranu w celu monitorowania aktywności na ekranach zainfekowanych urządzeń. Według naukowców głównymi celami projektu Vultur były aplikacje wykorzystywane do zarządzania bankowością i portfelem kryptograficznym, ze szczególnym uwzględnieniem krajów europejskich i Australii.
Przez pewien czas złośliwe oprogramowanie przetrwało wykrycie i było rozpowszechniane w oficjalnym sklepie Google Play, ukryte w złośliwej aplikacji o nazwie „Protection Guard”, udając pomocnika w zabezpieczaniu telefonu. Złośliwa aplikacja zdołała zdobyć ponad 5 tysięcy pobrań.
Tym, co odróżnia Vultur od podobnego złośliwego oprogramowania RAT, jest to, że nie opiera się na nakładkach HTML, które wydobywają dane uwierzytelniające. Badacze zauważyli, że podejście nakładkowe zwykle wymaga „większej inwestycji czasu i wysiłku”. Zamiast tego Vultur opiera się na nagrywaniu ekranu i rejestrowaniu klawiszy, co jest łatwiejszym i bardziej skalowalnym podejściem.
Tradycyjnie szkodliwe oprogramowanie bankowe wykorzystywałoby przekonujące odtworzenie oryginalnego interfejsu i strony logowania aplikacji, które są wyświetlane na górze oryginalnej aplikacji, przechwytując wszelkie wprowadzone dane uwierzytelniające. Badacze uważają, że cyberprzestępcy stopniowo porzucają to podejście i próbują znaleźć nowe, bardziej efektywne sposoby kradzieży danych uwierzytelniających.
Badacze, którzy zbadali Vultura, odkryli również pewne podobieństwa między nowym RAT a wcześniej istniejącym złośliwym oprogramowaniem na Androida o nazwie Brunhilda. Brunhilda to dropper używany do dystrybucji różnych końcowych ładunków, w modelu nazywanym przez naukowców modelem „dropper-as-a-service”.
Najważniejsze jest obserwowalny trend i dążenie do odejścia od trojanów kupowanych na stronach hakerskich i złych aktorów, skupiających się bardziej na złośliwym oprogramowaniu, które jest bardziej skalowalne i lepiej dopasowane do ich konkretnych potrzeb. Struktura złośliwego oprogramowania, takiego jak Vultur, pozwala na oskryptowanie wszystkich działań i wbudowanie ich w backend, co pozwala na łatwiejsze atakowanie i przeprowadzanie ataków.