Банковское вредоносное ПО Vultur снова появляется со многими опасными функциями
Недавно исследователи NCC Group обнаружили новую версию банковского вредоносного ПО Vultur, позволяющего мошенникам удаленно взаимодействовать с телефонами и собирать конфиденциальные данные.
Исследователь Джошуа Камп (NCC Group) заявил: «Vultur зашифровал информацию связи между сервером управления (сервером C2) и зараженными устройствами, выдавая себя за законные приложения для выполнения многих вредоносных действий».
Когда связь между сервером управления и устройством жертвы зашифрована, системам безопасности становится сложнее читать и анализировать передаваемые данные, что затрудняет обнаружение и предотвращение вредоносных действий. причинение вреда становится более трудным.
Что такое банковское вредоносное ПО Vultur?
Vultur — одно из первых семейств банковских вредоносных программ для Android с возможностью записи экрана, предназначенное в первую очередь для банковских приложений для записи нажатий клавиш и пультов дистанционного управления. Vultur был впервые обнаружен ThreatFabric в конце марта 2021 года.
Было замечено, что это вредоносное ПО распространяется через зараженные троянами дропперы в Google Play, маскируясь под приложения для аутентификации и приложения для повышения производительности, чтобы обманом заставить пользователей их установить.
По наблюдениям NCC Group, приложения-дропперы используют комбинацию SMS-сообщений и телефонных звонков для распространения вредоносного ПО. После установки пользователем дроппер выполнит 3 связанных полезных данных (2 APK и 1 файл DEX), зарегистрирует бота на сервере C2, получит разрешения службы доступности для удаленного доступа через AlphaVNC и ngrok, а также выполнит команды, полученные с C2. сервер.
Одной из новых функций Vultur является возможность удаленного взаимодействия с зараженным устройством, включая выполнение щелчков, прокрутки и пролистывания через службы специальных возможностей Android, а также загрузку, выгрузку и пролистывание. удалять, устанавливать и находить файлы.
Кроме того, вредоносное ПО не позволяет жертвам взаимодействовать с предопределенным списком приложений, отображает специальные уведомления в строке состояния и даже отключает Keyguard для обхода мер безопасности экрана. запереть.
Vultur улучшает дистанционное управление
Камп сказал: «Недавние разработки Vultur продемонстрировали смещение акцента в сторону максимального удаленного управления зараженными устройствами. Благодаря возможности диктовать прокрутку, пролистывание, нажатие, управление громкостью, блокировку запуска приложений и даже включение функций управления файлами, становится ясно, что главная цель — получить полный контроль над скомпрометированными устройствами. ‘
Это событие произошло после того, как команда Cymru сообщила о переходе банковского трояна Android Octo (также известного как Coper) к работе в качестве службы, предоставляющей вредоносное ПО для других злоумышленников. воровство информации.
«Это вредоносное ПО предлагает множество расширенных функций, включая регистрацию нажатий клавиш, блокировку SMS-сообщений и push-уведомлений, а также управление экраном устройства», — заявили в компании.
По оценкам, в ходе кампаний Octo было скомпрометировано 45 000 устройств, в основном расположенных в Португалии, Испании, Турции и США. Некоторые другие жертвы были во Франции, Нидерландах, Канаде, Индии и Японии.
Компания Symantec, принадлежащая компании Broadcom, сообщила в пресс-релизе, что вредоносное ПО «предназначено для кражи банковской информации, SMS-сообщений и другой конфиденциальной информации с устройств жертв».
Выше находится статья на тему: «Вновь появляется банковское вредоносное ПО Vultur со многими опасными функциями». Надеюсь, эта статья будет вам полезна. Не забудьте оценить статью, поставить лайк и поделиться этой статьей со своими друзьями и родственниками. Удачи!
