Android 銀行木馬 Vultur 使用屏幕錄制來竊取憑據

ThreatFabric 研究人員發現了一種新的 Android 銀行木馬，跟蹤為 Vultur，它使用屏幕錄制和鍵盤記錄來捕獲登錄憑據。

Vultur 于 2021 年 3 月下旬首次被發現，它通過從 AlphaVNC 中獲取的 VNC（虛擬網絡計算）實現獲得了對受害者設備的全面可見性。

“我們第一次看到一個 Android 銀行木馬，它將屏幕錄制和鍵盤記錄作為主要策略，以自動化和可擴展的方式收集登錄憑據。攻擊者選擇避開我們通常在其他 Android 銀行木馬中看到的常見 HTML 覆蓋策略：這種方法通常需要攻擊者花費更多時間和精力來竊取用戶的相關信息。相反，他們選擇簡單地記錄屏幕上顯示的內容，有效地獲得了相同的最終結果。” 閱讀ThreatFabric 發布的分析。

Vultur 所針對的大多數應用程序都屬于意大利、澳大利亞和西班牙的銀行，專家們發現了與一個名為 Brunhilda 的流行滴管框架的鏈接。

專家發現至少有 2 個 dropper 應用程序連接到 Vultur，其中一個從 Google Play 安裝了 5000 多個。專家認為，該惡意軟件已經感染了數千臺設備。

Vultur 使用 ngrok提供對設備上運行的 VNC 服務器的遠程訪問。

銀行木馬利用可訪問性服務來確定前臺的應用程序。如果該應用程序包含在 Vultur 的目標應用程序列表中，它將啟動屏幕錄制會話。

惡意軟件出現在偽裝成名為“Protection Guard”的應用程序的通知面板中。

Vultur 還利用輔助功能服務來記錄在屏幕上按下的所有鍵并防止手動卸載應用程序。

該惡意軟件還專注于竊取加密錢包憑據和社交媒體應用程序。

“Vultur 的故事再次展示了攻擊者如何從使用在地下市場上出售的租用木馬 (MaaS) 轉變為針對攻擊者的需求量身定制的專有/私有惡意軟件。它使我們能夠觀察到一組涵蓋惡意軟件的分發和操作過程。” 報告結束。“移動平臺上的銀行威脅不再僅基于眾所周知的覆蓋攻擊，而是演變成類似 RAT 的惡意軟件，繼承了檢測前臺應用程序以開始屏幕錄制等有用技巧。這將威脅帶到了另一個層次，因為這些功能為設備上的欺詐打開了大門，規避了基于網絡釣魚 MO 的檢測，這些檢測要求從新設備上執行欺詐。”