新的 Android RAT 菌株针对银行和加密
移动安全研究人员发布了有关以前未知的 Android 恶意软件(称为 Vultur)的信息。该恶意软件充当远程访问木马并滥用屏幕录制从银行和加密应用程序窃取数据。
Vultur 滥用 VNC 或虚拟网络计算屏幕录制和屏幕共享功能来监控受感染设备屏幕上的活动。据研究人员称,Vultur 的主要目标是用于银行和加密钱包管理的应用程序,重点是欧洲国家和澳大利亚。
有一段时间,恶意软件设法在检测中幸存下来,并在官方 Google Play 商店中分发,隐藏在名为“Protection Guard”的恶意应用程序中,伪装成电话安全助手。该恶意应用程序的下载量超过了 5000 次。
Vultur 与类似 RAT 恶意软件的不同之处在于它不依赖于泄露凭据的 HTML 覆盖。研究人员指出,叠加方法通常需要“更多的时间和精力投入”。相反,Vultur 依赖于屏幕录制和键盘记录,这是一种更简单、更具可扩展性的方法。
传统上,银行恶意软件会使用令人信服的原始界面和显示在原始应用程序顶部的应用程序登录页面的重新创建,捕获输入的任何凭据。研究人员认为,威胁行为者正在逐渐放弃这种方法,并试图找出新的、更有效的方法来窃取凭据。
研究 Vultur 的研究人员还发现了新 RAT 与之前存在的名为 Brunhilda 的 Android 恶意软件之间的一些相似之处。 Brunhilda 是一个用于分发不同最终有效载荷的 dropper,研究人员称之为“dropper-as-a-service”模型。
底线是一个可观察到的趋势,并推动远离在黑客网站上购买的特洛伊木马,而不良行为者则更多地关注更具可扩展性且更适合其特定需求的恶意软件。像 Vultur 这样的恶意软件的结构允许将所有操作编写成脚本并将其内置到后端中,并允许更容易的命中和运行攻击。