新的 Android 恶意软件使用 VNC 来监视和窃取受害者的密码

已经发现以前未记录的基于 Android 的远程访问木马 (RAT) 使用屏幕录制功能窃取设备上的敏感信息，包括银行凭据，并为设备上的欺诈打开大门。由于使用虚拟网络计算 (VNC) 的远程屏幕共享技术来全面了解目标用户，因此被称为“Vultur”，移动恶意软件通过官方 Google Play 商店分发，并伪装成名为“Protection Guard”的应用程序,”吸引了 5,000 多个装置。来自意大利、澳大利亚和西班牙实体的银行和加密钱包应用程序是主要目标。 ThreatFabric 的研究人员在与 The Hacker News 分享的一篇文章中说：“我们第一次看到一种 Android 银行木马，它以屏幕录制和键盘记录作为主要策略，以自动和可扩展的方式获取登录凭据。” “攻击者选择避开我们通常在其他 Android 银行木马中看到的常见 HTML 覆盖开发：这种方法通常需要攻击者投入更多的时间和精力来创建能够欺骗用户的多个覆盖。相反，他们选择了只需记录屏幕上显示的内容，即可有效地获得相同的最终结果。”虽然 MysteryBot、Grandoreiro、Banker.BR 和 Vizom 等银行恶意软件传统上依赖于覆盖攻击——即创建银行登录页面的虚假版本并将其覆盖在合法应用程序之上——来诱骗受害者泄露他们的密码和其他重要的私人信息，越来越多的证据表明威胁行为者正在远离这种方法。在本周早些时候发布的一份报告中，意大利网络安全公司 Cleafy 发现了 UBEL，这是 Oscorp 的更新变体，观察到它使用 WebRTC 与受感染的 Android 手机实时交互。 Vultur 采用了类似的策略，它利用可访问性权限来捕获按键，并利用 VNC 的屏幕录制功能秘密记录手机上的所有活动，从而避免注册新设备的需要，并使银行难以发现欺诈行为。更重要的是，该恶意软件使用 ngrok，这是一种跨平台实用程序，用于通过安全隧道将 NAT 和防火墙后面的本地服务器暴露给公共互联网，以提供对在手机上本地运行的 VNC 服务器的远程访问。此外，它还与命令和控制 (C2) 服务器建立连接，以通过 Firebase 云消息传递 (FCM) 接收命令，然后将其结果（包括提取的数据和屏幕截图）传输回服务器。

ThreatFabric 的调查还将 Vultur 与另一个名为 Brunhilda 的知名恶意软件联系起来，这是一种利用 Play 商店在所谓的“投放即服务”（DaaS）操作中分发不同类型恶意软件的投放程序，并引用了重叠在用于促进​​攻击的源代码和 C2 基础设施中。这家总部位于阿姆斯特丹的网络安全服务公司表示，这些关系表明 Brunhilda 是一家私人经营的威胁行为者，拥有自己的投放器和专有的 RAT Vultur。研究人员总结道：“Vultur 的故事再次展示了攻击者如何从使用在地下市场出售的租用木马 (MaaS) 转向专为该群体需求量身定制的专有/私有恶意软件。” “这些攻击是可扩展和自动化的，因为执行欺诈的操作可以在恶意软件后端编写脚本并以命令序列的形式发送，从而使攻击者很容易撞上并逃跑。”觉得这篇文章有趣吗？在 Facebook、Twitter  和 LinkedIn 上关注 THN，以阅读我们发布的更多独家内容。