新的 Android 恶意软件通过 VNC 记录智能手机以窃取密码

安全研究人员发现了一种新颖的 Android 恶意软件，它使用 VNC 技术记录和广播受害者的智能手机活动，允许威胁行为者收集键盘按下和应用程序密码。荷兰安全公司 ThreatFabric 于 2021 年 3 月首次发现这种名为 Vultur 的新恶意软件，它与其他 Android 恶意软件不同，后者通常依赖漂浮在合法应用程序顶部的虚假登录屏幕来收集受害者的凭据。相反，Vultur 在受感染的手机上打开一个 VNC 服务器，并将屏幕截图广播到攻击者的命令和控制服务器，Vultur 操作员在那里提取所需应用程序的密码。以下是本周与 The Record 分享的 ThreatFabric 报告中详细介绍的 Vultur 功能摘要： 尽管 Vultur 被宣传为银行木马，但 Vultur 是最近趋势的一部分，其中 Android 银行木马还具有远程访问木马的典型功能（ RATs)，允许攻击者完全控制设备。 Vultur 目前安装在先前感染了 Brunhilda 恶意软件 [PDF] 的设备上，众所周知，该恶意软件有时会进入 Google Play 商店并充当其他恶意软件菌株的“投放器”。只有当 Vultur 设法欺骗用户授予对辅助功能的访问权限时，它才能成功地完全控制设备。

每当用户导航到要卸载其父应用程序的屏幕时，Vultur 都会自动按下“返回”按钮。用户可以发现 Vultur 正在运行，因为每次它广播受害者的屏幕时，Android 通知面板中的“保护卫士”指示灯都会亮起。除了通过 VNC 收集按键，Vultur 还可以向恶意软件操作员发送已安装应用程序的列表，以确定受害者是否是有价值的资产。根据恶意软件的配置，它目前针对意大利、澳大利亚、西班牙、荷兰和英国的银行的移动银行应用程序。它还可以锁定和窃取加密货币移动钱包和社交媒体应用程序的凭据。 ThreatFabric 表示，一项代码级调查发现了与 Brunhilda 开发人员的相似之处和可能的联系。