Ny stam av Android RAT -mål Banking och Crypto
Mobila säkerhetsforskare publicerade information om en tidigare okänd Android -skadlig kod, kallad Vultur. Skadlig programvara fungerar som en trojan för fjärråtkomst och missbrukar skärminspelning för att stjäla data från bank- och kryptoapplikationer.
Vultur missbrukar VNC eller virtuella nätverksberäkningar skärminspelning och skärmdelningsfunktioner för att övervaka aktivitet på skärmarna på infekterade enheter. Vulturs främsta mål, enligt forskare, var applikationer som användes för bank- och kryptoplånbokshantering, med fokus på europeiska länder och Australien.
Ett tag lyckades skadlig programvara överleva upptäckten och distribuerades till den officiella Google Play Butik, undangömt i en skadlig app som kallades "Protection Guard", som utgjorde en telefonsäkerhetshjälpare. Den skadliga appen lyckades få över 5 tusen nedladdningar.
Det som skiljer Vultur från liknande RAT -skadlig kod är att den inte förlitar sig på HTML -överlägg som exfiltrerar referenser. Forskare noterade att överlagringsmetoden vanligtvis kräver "en större tid och ansträngning". Istället förlitar sig Vultur på skärminspelning och keylogging, vilket är ett enklare och mer skalbart tillvägagångssätt.
Traditionellt skulle banktjänster använda en övertygande återskapande av det ursprungliga gränssnittet och inloggningssidan för en app som visas ovanpå den ursprungliga appen och fånga in alla inloggningsuppgifter. Forskare tror att hotaktörer gradvis överger detta tillvägagångssätt och försöker räkna ut nya, effektivare sätt att stjäla referenser.
Forskarna som undersökte Vultur fann också vissa likheter mellan den nya RAT och en tidigare existerande bit av Android -skadlig kod som heter Brunhilda. Brunhilda är en dropper som används för att distribuera olika slutliga nyttolaster, i vad forskare kallar "dropper-as-a-service" -modell.
Sammanfattningen är en observerbar trend och drivkraft för att flytta bort från trojaner som köps på hackerwebbplatser och dåliga aktörer som fokuserar mer på skadlig kod som är mer skalbar och bättre anpassad till deras specifika behov. Strukturen för skadlig kod som Vultur gör att alla åtgärder kan skriptas och byggas in i backend och möjliggöra enklare träff och kör attacker.
