Новый штамм Android RAT нацелен на банковское дело и криптовалюту

Исследователи мобильной безопасности опубликовали информацию о ранее неизвестном вредоносном ПО для Android, получившем название Vultur. Вредоносная программа действует как троян для удаленного доступа и злоупотребляет записью экрана для кражи данных из банковских и криптографических приложений.

Vultur злоупотребляет VNC или виртуальными сетевыми вычислениями с возможностью записи экрана и совместного использования экрана для отслеживания активности на экранах зараженных устройств. По словам исследователей, основными целями Vultur были приложения, используемые для банковского дела и управления криптовалютными кошельками, с акцентом на европейские страны и Австралию.

Некоторое время вредоносной программе удавалось выжить при обнаружении, и она распространялась в официальном магазине Google Play, спрятавшись во вредоносном приложении под названием «Protection Guard», выдавая себя за помощника по обеспечению безопасности телефона. Вредоносное приложение успело набрать более 5 тысяч загрузок.

Что отличает Vultur от аналогичного вредоносного ПО RAT, так это то, что он не полагается на HTML-оверлеи, которые извлекают учетные данные. Исследователи отметили, что метод наложения обычно требует «больших затрат времени и усилий». Вместо этого Vultur полагается на запись экрана и кейлоггеры, что является более простым и масштабируемым подходом.

Традиционно банковское вредоносное ПО будет использовать убедительное воссоздание исходного интерфейса и страницы входа в приложение, которое отображается поверх исходного приложения и фиксирует любые введенные учетные данные. Исследователи полагают, что злоумышленники постепенно отказываются от этого подхода и пытаются найти новые, более эффективные способы кражи учетных данных.

Исследователи, изучавшие Vultur, также обнаружили некоторое сходство между новым RAT и ранее существовавшим вредоносным ПО для Android под названием Brunhilda. Brunhilda - это дроппер, используемый для распределения различных конечных полезных нагрузок в модели, которую исследователи называют «дроппер как услуга».

Суть в том, что наблюдается наблюдаемая тенденция и побуждает отказаться от троянов, приобретаемых на хакерских веб-сайтах, и от злоумышленников, уделяющих больше внимания вредоносным программам, которые более масштабируемы и лучше соответствуют их конкретным потребностям. Структура вредоносного ПО, такого как Vultur, позволяет создавать сценарии и встроить все действия в серверную часть, что упрощает выполнение атак.