名为 Vultur 的新型银行欺诈恶意软件感染了数千台设备
最近检测到的 Android 恶意软件,其中一些是通过 Google Play 商店传播的,它使用一种新颖的方式来加速从 100 多个银行和加密货币应用程序中获取登录凭据。该恶意软件被阿姆斯特丹安全公司 ThreatFabric 的研究人员称为 Vultur,它是(如果不是第一个)每当打开目标应用程序时记录设备屏幕的 Android 威胁之一。 ThreatFabric 的研究人员表示,Vultur 使用 VNC 屏幕共享应用程序的真实实现将受感染设备的屏幕镜像到攻击者控制的服务器。基于 Android 的银行欺诈恶意软件的典型作案手法是在目标应用程序呈现的登录屏幕顶部叠加一个窗口。这种窗口通常被称为“覆盖”,看起来与银行应用程序的用户界面相同,让受害者感觉他们正在将凭据输入到受信任的软件中。然后攻击者收集凭据,将它们输入到在不同设备上运行的应用程序中,然后提取资金。 ThreatFabric 研究人员在谈到新的 Vultur 方法时写道:“移动平台上的银行威胁不再仅基于众所周知的覆盖攻击,而是演变成类似 RAT 的恶意软件,继承了检测前台应用程序以开始屏幕录制等有用技巧。”一个帖子。这将威胁带到了另一个层次,因为这些功能为设备上的欺诈打开了大门,绕过了基于网络钓鱼 MO 的检测,需要从新设备进行欺诈:Vultur 欺诈可能发生在受害者的受感染设备上。这些攻击是可扩展和自动化的,因为执行欺诈的操作可以在恶意软件后端编写脚本并以序列命令的形式发送。与许多 Android 银行木马程序一样,Vultur 严重依赖于移动操作系统中内置的辅助功能服务。首次安装时,Vultur 会滥用这些服务来获取工作所需的权限。为此,恶意软件使用从其他恶意软件系列中获取的覆盖层。从那时起,Vultur 会监控所有触发无障碍服务的请求。恶意软件使用这些服务来检测来自目标应用程序的请求。恶意软件还使用这些服务来阻止用户使用传统措施删除应用程序。具体来说,每当用户尝试访问 Android 设置中的应用程序详细信息屏幕时,Vultur 都会自动单击后退按钮。这会阻止用户访问卸载按钮。 Vultur 也隐藏了它的图标。
恶意软件保持隐蔽的另一种方式:安装它的木马应用程序是功能齐全的程序,实际上提供真正的服务,例如健身追踪或双因素身份验证。然而,尽管进行了伪装尝试,但该恶意软件至少提供了一个表明它正在运行的迹象——无论安装了何种木马应用程序,Vultur 都会以投影屏幕的形式出现在 Android 通知面板中。安装后,Vultur 使用 Alpha VNC 的 VNC 实现开始屏幕录制。为了提供对在受感染设备上运行的 VNC 服务器的远程访问,恶意软件使用 ngrok,该应用程序使用加密隧道将隐藏在防火墙后面的本地系统暴露给公共互联网。该恶意软件由名为 dropper 的木马应用程序安装。到目前为止,ThreatFabric 研究人员已经在 Google Play 中发现了两个安装 Vultur 的木马应用程序。他们总共安装了大约 5,000 个装置,这导致研究人员估计 Vultur 感染的数量有数千个。与大多数依赖第三方投放器的 Android 恶意软件不同,Vultur 使用一种自定义投放器,后来被称为 Brunhilda。 ThreatFabric 研究人员写道:“这个 dropper 和 Vultur 都是由同一个威胁演员小组开发的。” “选择开发自己的私有木马,而不是租用第三方恶意软件,显示出这一群体的强烈动机,与机器人以及服务器代码中存在的整体高水平结构和组织相结合。”研究人员发现,Brunhilda 过去曾被用来安装不同的 Android 银行恶意软件,称为 Alien。研究人员估计,Brunhilda 总共感染了 30,000 多台设备。研究人员根据之前在 Play 商店中提供的恶意应用程序(其中一些安装量超过 10,000 个)以及来自第三方市场的数据进行了估算。 Vultur 被编程为在 103 个 Android 银行或加密货币应用程序中的任何一个在前台运行时记录屏幕。意大利、澳大利亚和西班牙是银行机构受攻击最多的国家。除了银行和加密货币应用程序外,该恶意软件还会收集 Facebook、Facebook 旗下的 WhatsApp Messenger、TikTok 和 Viber Messenger 的凭据。这些应用程序的凭据收集是通过传统的键盘记录进行的,尽管 ThreatFabric 帖子没有解释原因。
虽然谷歌已经删除了所有已知包含 Brunhilda 的 Play Market 应用程序,但该公司的记录表明新的木马应用程序可能会出现。 Android 用户应仅安装提供有用服务的应用程序,即便如此,也应尽可能仅安装来自知名发行商的应用程序。人们还应该密切关注用户评分和应用程序行为是否有恶意的迹象。
