你的屏幕被“偷”了,新恶意软件Vultur已控制数千台设备
2021-08-05
来源:工控安全漫谈
最近研究人员在Google Play中发现一种新型Android恶意软件,已经波及了一百多个银行和加密货币应用程序。
荷兰安全公司ThreatFabric的研究人员将该种恶意软件命名为Vultur。该恶意软件会在目标应用程序打开时记录屏幕,Vultur 会使用 VNC 屏幕共享将失陷主机的屏幕镜像到攻击者控制的服务器。
欺诈新时代
Android窃密恶意软件的典型手法是在目标应用程序的登陆窗口上叠加一层透明窗口或者与目标应用程序相同的界面窗口。将用户的隐私信息收集起来,再换一个地方转移资金。
ThreatFabric的研究人员在Vultur中发现:
“移动平台上的窃密威胁不再仅仅基于众所周知的覆盖层攻击,而是演变成类似远控的恶意软件,却也继承了检测前台应用程序并开始屏幕录制等传统方式”。
这就将威胁继续推高到另一个水平,Vultur的攻击是可以扩展并自动化的,欺诈的手法可以在后端编写脚本并下发到受害设备。
与许多 Android 银行木马程序一样,Vultur严重依赖于移动操作系统中内置的辅助功能服务。首次安装时,Vultur会滥用这些服务来获取所需的权限。而一旦安装成功,Vultur就会监控所有触发无障碍服务的请求。
隐蔽性更强
Vultur使用这些服务监测来自目标应用程序的请求,恶意软件还使用这些服务通过一般手段对恶意软件进行删除和清理。每当用户尝试访问 Android 设置中的应用程序详细信息页时,Vultur都会自动单击后退按钮。这会妨碍用户点击卸载按钮,而且Vultur也隐藏了它自己的图标。
Vultur保持隐蔽的另一种方式:安装它的应用程序是功能齐全的应用程序,实际上会提供真正的服务,例如健身追踪或双因子身份验证。然而不管怎么伪装,Vultur都会以投影屏幕的形式出现在Android通知面板中,这就暴露了它。
安装成功后,Vultur会使用Alpha VNC的VNC开始进行屏幕录制。为了提供对在受感染设备上运行的 VNC 服务器的远程访问,Vultur使用 ngrok,该应用程序会使用加密隧道将隐藏在防火墙后面的本地系统暴露给公共互联网。
Vultur会由 Dropper程序来安装,ThreatFabric已经在Google Play中发现了两个安装Vultur的Dropper应用程序。共计影响了超过 5000台设备,与其他依赖第三方Dropper的Android恶意软件不同,Vultur使用被称为Brunhilda的自定义Dropper。
Brunhilda与Vultur是由同一个组织开发的,而Brunhilda过去曾被用来安装不同的Android银行恶意软件。据估计,Brunhilda一共感染了超过3万台设备。
Vultur针对103个Android银行应用程序或加密货币应用程序进行窃密,意大利、澳大利亚和西班牙是受攻击最多的国家。
除了银行应用程序和加密货币应用程序外,该恶意软件还会收集 Facebook、WhatsApp Messenger、TikTok 和 Viber Messenger 的凭据。
Google已经删除了所有已知包含 Brunhilda 的Googel Play 应用程序,但Google表示新的木马应用程序可能仍会出现。Android用户应该只安装提供有用服务的应用程序,而且尽可能只安装来自知名发行商的应用程序。