超過5000個安裝!新的Android惡意軟體利用VNC監視和竊取受害者密碼

一種以前未記錄的基於android的遠端訪問木馬(RAT)被發現利用螢幕記錄功能竊取裝置上的敏感資訊，包括銀行憑證，併為裝置欺詐開啟大門。

這款名為“Vultur”的手機惡意軟體利用虛擬網路計算(VNC)的遠端螢幕共享技術，來完全瞭解目標使用者。惡意軟體透過官方谷歌Play Store傳播，並偽裝成一款名為“protect Guard”的應用程式，吸引了超過5000個安裝。來自義大利、澳大利亞和西班牙實體的銀行和加密錢包應用程式是主要目標。

網路安全研究人員在分享的一篇文章中稱：“我們首次看到一種以螢幕記錄和鍵盤記錄為主要策略，以自動和可擴充套件的方式獲取登入憑據的Android銀行木馬。”

“這些參與者選擇避開我們通常在其他Android銀行木馬中看到的通用HTML覆蓋開發:這種方法通常需要參與者投入更多的時間和精力來建立能夠欺騙使用者的多個覆蓋。相反，他們選擇簡單地記錄螢幕上顯示的內容，有效地獲得了相同的最終結果。”

而銀行惡意軟體如MysteryBot, Grandoreiro, Banker。BR, Vizom歷來依靠疊加攻擊,也就是說,建立一個錯誤版本的銀行的登入頁面和覆蓋它的合法程式,誘騙受害人透露自己的密碼和其他重要的私人資訊,越來越多的證據表明威脅者逐漸不再採取這種方法。

在本週早些時候釋出的一份報告中，義大利網路安全公司發現Oscorp的更新變體 UBEL，觀察到它使用WebRTC與受感染的Android手機實時互動。

Vultur採用了類似的策略，它利用可訪問性許可權來捕獲擊鍵，並利用VNC的螢幕錄製功能秘密記錄手機上的所有活動，從而無需註冊新裝置，並使銀行難以發現欺詐行為。

更重要的是，該惡意軟體使用ngrok，這是一種跨平臺實用程式，用於透過安全隧道將 NAT和防火牆後面的本地伺服器暴露給公共網際網路，以提供對手機本地執行的VNC伺服器的遠端訪問。

此外，它還與命令和控制 (C2) 伺服器建立連線，以透過Firebase雲訊息傳遞( FCM )接收命令，然後將其結果(包括提取的資料和螢幕截圖)傳輸回伺服器。

網路安全公司的調查還將Vultur與另一個名為Brunhilda的知名惡意軟體聯絡起來，這是一種利用Play商店在所謂的“投放即服務”(DaaS)操作中分發不同型別惡意軟體的投放程式，並引用了重疊在用於促進攻擊的原始碼和C2基礎設施中。

這家總部位於阿姆斯特丹的網路安全服務公司表示，這些關係表明Brunhilda是一個私人運營的威脅行為者，擁有自己的投放器和專有的RAT Vultur。

研究人員總結道：“Vultur的故事再次展示了攻擊者如何從使用在地下市場出售的租用木馬 (MaaS) 轉向專為該群體需求量身定製的專有/私有惡意軟體。” “這些攻擊是可擴充套件和自動化的，因為執行欺詐的操作可以在惡意軟體後端編寫指令碼，並以命令序列的形式傳送，從而使攻擊者很容易撞上並逃跑。”

隨著惡意軟體不斷更新迭代和網路犯罪團伙技術手段進步，不斷有新型惡意軟體出現。這嚴重影響軟體防毒系統和防禦系統的識別能力，很可能導致惡意軟體直接繞過安全防禦直達系統內部。因此，在軟體開發過程中，提高 程式碼質量，加強 軟體安全漏洞檢測可以大大提高軟體系統抵禦病毒入侵的能力，有效降低網路攻擊風險，同時降低修復成本，避免經濟損失加劇。