新的 Android RAT 菌株針對銀行和加密
移動安全研究人員發布了有關以前未知的 Android 惡意軟件(稱為 Vultur)的信息。該惡意軟件充當遠程訪問木馬並濫用屏幕錄製從銀行和加密應用程序竊取數據。
Vultur 濫用 VNC 或虛擬網絡計算屏幕錄製和屏幕共享功能來監控受感染設備屏幕上的活動。據研究人員稱,Vultur 的主要目標是用於銀行和加密錢包管理的應用程序,重點是歐洲國家和澳大利亞。
有一段時間,惡意軟件設法在檢測中倖存下來,並在官方 Google Play 商店中分發,隱藏在名為“Protection Guard”的惡意應用程序中,偽裝成電話安全助手。該惡意應用程序的下載量超過了 5000 次。
Vultur 與類似 RAT 惡意軟件的不同之處在於它不依賴於洩露憑據的 HTML 覆蓋。研究人員指出,疊加方法通常需要“更多的時間和精力投入”。相反,Vultur 依賴於屏幕錄製和鍵盤記錄,這是一種更簡單、更具可擴展性的方法。
傳統上,銀行惡意軟件會使用令人信服的原始界面和顯示在原始應用程序頂部的應用程序登錄頁面的重新創建,捕獲輸入的任何憑據。研究人員認為,威脅行為者正在逐漸放棄這種方法,並試圖找出新的、更有效的方法來竊取憑據。
研究 Vultur 的研究人員還發現了新 RAT 與之前存在的名為 Brunhilda 的 Android 惡意軟件之間的一些相似之處。 Brunhilda 是一個用於分發不同最終有效載荷的 dropper,研究人員稱之為“dropper-as-a-service”模型。
底線是一個可觀察到的趨勢,並推動遠離在黑客網站上購買的特洛伊木馬,而不良行為者則更多地關注更具可擴展性且更適合其特定需求的惡意軟件。像 Vultur 這樣的惡意軟件的結構允許將所有操作編寫成腳本並將其內置到後端中,並允許更容易的命中和運行攻擊。