您的屏幕被“偷走了”,新的恶意软件Vultur已经控制了数以千计的设备。荷兰安全公司ThreatFabric的研究人员将恶意软件命名为Vultur。恶意软件会在目标应用程序打开时记录屏幕,Vultur使用VNC屏幕共享将受感染主机的屏幕镜像到攻击者控制的服务器。欺骗新时代Android窃取者恶意软件的一个典型技巧是覆盖一个透明窗口或与目标应用程序的登录窗口相同的界面窗口。收集用户隐私信息,将资金转移到其他地方。ThreatFabric研究人员在Vultur中发现:“移动平台上的窃取威胁不再单纯基于众所周知的叠加攻击,而是已经演变成一种类似远程控制的恶意软件,而且还继承了对前台应用程序的检测并开始屏幕录制。传统方式”。这继续将威胁推向另一个层次。Vultur的攻击是可扩展和自动化的。欺诈方法可以在后端编写脚本并传送到受害设备。与许多Android银行木马一样,Vultur严重依赖移动操作系统内置的辅助功能服务。首次安装时,Vultur会滥用这些服务来获得所需的权限。安装后,Vultur会监控所有触发无障碍服务的请求。StealthierVultur使用这些服务来监视来自目标应用程序的请求,而恶意软件通常使用这些服务来删除和清除恶意软件。每当用户尝试访问Android设置中的应用详细信息页面时,Vultur将自动点击后退按钮。这可以防止用户单击卸载按钮,并且Vultur还隐藏了自己的图标。Vultur保持隐藏的另一种方式:安装它的应用程序是功能齐全的应用程序,实际上提供真正的服务,如健身追踪或双因素身份验证。然而,无论怎么伪装,Vultur都会以投影屏幕的形式出现在Android的通知面板中,这会让人泄密。安装成功后,Vultur会使用AlphaVNC的VNC开始录屏。为了提供对在受感染设备上运行的VNC服务器的远程访问,Vultur使用ngrok,这是一个使用加密隧道将隐藏在防火墙后面的本地系统暴露给公共互联网的应用程序。Vultur将由一个滴管程序安装,ThreatFabric在GooglePlay中发现了两个安装Vultur的滴管应用程序。总共有5,000多台设备受到影响。与依赖第三方植入程序的其他Android恶意软件不同,Vultur使用名为Brunhilda的自定义植入程序。Brunhilda与Vultur由同一组开发,过去曾被用来安装不同的Android银行恶意软件。据估计,Brunhilda总共感染了超过30,000台设备。Vultur针对103个Android银行应用程序或加密货币应用程序,其中意大利、澳大利亚和西班牙是受攻击最严重的国家/地区。除了银行应用程序和加密货币应用程序之外,该恶意软件还获取Facebook、WhatsAppMessenger、TikTok和ViberMessenger的凭据。谷歌已经删除了所有已知包含Brunhilda的GooglePlay应用程序,但谷歌表示新的木马化应用程序可能仍会出现。Android用户应该只安装提供有用服务的应用程序,并且尽可能只安装来自知名发行商的应用程序。参考来源:ARSTECHNICA
