超過5000個安裝!新的Android惡意軟體利用VNC監視和竊取受害者密碼
一種以前未記錄的基於android的遠端訪問木馬(RAT)被發現利用螢幕記錄功能竊取裝置上的敏感資訊,包括銀行憑證,併為裝置欺詐開啟大門。
這款名為“Vultur”的手機惡意軟體利用虛擬網路計算(VNC)的遠端螢幕共享技術,來完全瞭解目標使用者。惡意軟體透過官方谷歌Play Store傳播,並偽裝成一款名為“protect Guard”的應用程式,吸引了超過5000個安裝。來自義大利、澳大利亞和西班牙實體的銀行和加密錢包應用程式是主要目標。
網路安全研究人員在分享的一篇文章中稱:“我們首次看到一種以螢幕記錄和鍵盤記錄為主要策略,以自動和可擴充套件的方式獲取登入憑據的Android銀行木馬。”
“這些參與者選擇避開我們通常在其他Android銀行木馬中看到的通用HTML覆蓋開發:這種方法通常需要參與者投入更多的時間和精力來建立能夠欺騙使用者的多個覆蓋。相反,他們選擇簡單地記錄螢幕上顯示的內容,有效地獲得了相同的最終結果。”
而銀行惡意軟體如MysteryBot, Grandoreiro, Banker。BR, Vizom歷來依靠疊加攻擊,也就是說,建立一個錯誤版本的銀行的登入頁面和覆蓋它的合法程式,誘騙受害人透露自己的密碼和其他重要的私人資訊,越來越多的證據表明威脅者逐漸不再採取這種方法。
在本週早些時候釋出的一份報告中,義大利網路安全公司發現Oscorp的更新變體 UBEL,觀察到它使用WebRTC與受感染的Android手機實時互動。
Vultur採用了類似的策略,它利用可訪問性許可權來捕獲擊鍵,並利用VNC的螢幕錄製功能秘密記錄手機上的所有活動,從而無需註冊新裝置,並使銀行難以發現欺詐行為。
更重要的是,該惡意軟體使用ngrok,這是一種跨平臺實用程式,用於透過安全隧道將 NAT和防火牆後面的本地伺服器暴露給公共網際網路,以提供對手機本地執行的VNC伺服器的遠端訪問。
此外,它還與命令和控制 (C2) 伺服器建立連線,以透過Firebase雲訊息傳遞( FCM )接收命令,然後將其結果(包括提取的資料和螢幕截圖)傳輸回伺服器。
網路安全公司的調查還將Vultur與另一個名為Brunhilda的知名惡意軟體聯絡起來,這是一種利用Play商店在所謂的“投放即服務”(DaaS)操作中分發不同型別惡意軟體的投放程式,並引用了重疊在用於促進攻擊的原始碼和C2基礎設施中。
這家總部位於阿姆斯特丹的網路安全服務公司表示,這些關係表明Brunhilda是一個私人運營的威脅行為者,擁有自己的投放器和專有的RAT Vultur。
研究人員總結道:“Vultur的故事再次展示了攻擊者如何從使用在地下市場出售的租用木馬 (MaaS) 轉向專為該群體需求量身定製的專有/私有惡意軟體。” “這些攻擊是可擴充套件和自動化的,因為執行欺詐的操作可以在惡意軟體後端編寫指令碼,並以命令序列的形式傳送,從而使攻擊者很容易撞上並逃跑。”
隨著惡意軟體不斷更新迭代和網路犯罪團伙技術手段進步,不斷有新型惡意軟體出現。這嚴重影響軟體防毒系統和防禦系統的識別能力,很可能導致惡意軟體直接繞過安全防禦直達系統內部。因此,在軟體開發過程中,提高 程式碼質量,加強 軟體安全漏洞檢測可以大大提高軟體系統抵禦病毒入侵的能力,有效降低網路攻擊風險,同時降低修復成本,避免經濟損失加劇。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2784692/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- NPM開原始碼庫惡意軟體包可透過Chrome的帳戶恢復工具竊取密碼NPM原始碼Chrome密碼
- 還在讓瀏覽器儲存密碼?小心遭惡意軟體竊取瀏覽器密碼
- 竊取終端資料成本低,謹防Formbook惡意軟體入侵竊密ORM
- 針對資訊竊取惡意軟體AZORult的分析
- 被安裝惡意軟體、竊取原始碼,世界最大域名註冊商GoDaddy遭入侵多年原始碼Go
- 你的Android裝置有惡意軟體嗎?Android
- 新型惡意軟體 FFDorider :以近乎完美的偽裝竊取使用者個人資訊IDE
- 駭客利用Firefox惡意擴充套件竊取Gmail和瀏覽器資料Firefox套件AI瀏覽器
- 新惡意軟體模糊技術是如何利用HTML5的?HTML
- 惡意解除安裝oracle軟體恢復方法Oracle
- 千萬部安卓手機中招,惡意軟體每月竊取數百萬英鎊安卓
- Office驚現零時漏洞黑客可利用Word文件安裝惡意軟體黑客
- 是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統防毒Android
- 微軟發現惡意 npm 軟體包,可從 UNIX 系統竊取資料微軟NPM
- 惡意軟體Emotet 的新攻擊方法
- 新惡意軟體可盜取Steam、Epic等多個遊戲平臺賬號遊戲
- 谷歌OAuth驗證系統曝漏洞,惡意軟體能夠用以竊取Google帳戶谷歌OAuthGo
- 群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證
- Android漏洞允許黑客通過NFC傳播惡意軟體Android黑客
- 總下載量超4萬次!PyPI發現11個惡意Python包竊取敏感資訊Python
- 密碼是如何被竊取的密碼
- vnc遠端控制軟體,vnc遠端控制軟體怎麼使用,vnc server如何安裝?VNCServer
- 惡意 Python 庫被發現會竊取 SSH 和 GPG 金鑰Python
- 【軟體工具】VNC-Server 軟體安裝與使用VNCServer
- VNC共享桌面軟體下載,VNC共享桌面軟體下載安裝教程!VNC
- 分佈超過800個惡意NPM包 軟體供應鏈攻擊活動增長迅速NPM
- 原始碼安裝NTOP監控軟體原始碼
- Win10系統解除安裝“惡意軟體刪除工具”的方法Win10
- TrickBot和Emotet再奪惡意軟體之冠
- 新的AdLoad惡意軟體變種可以透過蘋果的XProtect防禦蘋果
- 首款破解 2FA 的 Android 惡意程式曝光:可竊取銀行帳號Android
- Chrome 擴充套件程式包含惡意程式碼,竊取加密錢包私鑰Chrome套件加密
- Synology警告惡意軟體透過暴力攻擊用勒索軟體感染NAS裝置
- Android 更新伺服器遭黑客攻擊 ,德產手機被安裝惡意軟體Android伺服器黑客
- 美國癌症協會線上商店感染了信用卡盜竊惡意軟體
- YouTubers帳戶被竊取、“魷魚遊戲”惡意軟體出現|全球網路安全熱點遊戲
- Android裝置新型惡意軟體,融合銀行木馬、鍵盤記錄器和移動勒索軟體Android
- 在 Linux 上安裝和使用惡意軟體檢測工具 LMD 及防毒引擎 ClamAVLinux防毒