《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 你的屏幕被“偷”了,,新惡意軟件Vultur已控制數(shù)千臺(tái)設(shè)備

你的屏幕被“偷”了,,新惡意軟件Vultur已控制數(shù)千臺(tái)設(shè)備

2021-08-05
來源:工控安全漫談
關(guān)鍵詞: GooglePlay 惡意軟件 加密貨幣

  最近研究人員在Google Play中發(fā)現(xiàn)一種新型Android惡意軟件,,已經(jīng)波及了一百多個(gè)銀行和加密貨幣應(yīng)用程序,。

  荷蘭安全公司ThreatFabric的研究人員將該種惡意軟件命名為Vultur。該惡意軟件會(huì)在目標(biāo)應(yīng)用程序打開時(shí)記錄屏幕,,Vultur 會(huì)使用 VNC 屏幕共享將失陷主機(jī)的屏幕鏡像到攻擊者控制的服務(wù)器,。

  欺詐新時(shí)代

  Android竊密惡意軟件的典型手法是在目標(biāo)應(yīng)用程序的登陸窗口上疊加一層透明窗口或者與目標(biāo)應(yīng)用程序相同的界面窗口。將用戶的隱私信息收集起來,,再換一個(gè)地方轉(zhuǎn)移資金,。

  ThreatFabric的研究人員在Vultur中發(fā)現(xiàn):

  “移動(dòng)平臺(tái)上的竊密威脅不再僅僅基于眾所周知的覆蓋層攻擊,而是演變成類似遠(yuǎn)控的惡意軟件,,卻也繼承了檢測(cè)前臺(tái)應(yīng)用程序并開始屏幕錄制等傳統(tǒng)方式”,。

  這就將威脅繼續(xù)推高到另一個(gè)水平,Vultur的攻擊是可以擴(kuò)展并自動(dòng)化的,,欺詐的手法可以在后端編寫腳本并下發(fā)到受害設(shè)備,。

  與許多 Android 銀行木馬程序一樣,Vultur嚴(yán)重依賴于移動(dòng)操作系統(tǒng)中內(nèi)置的輔助功能服務(wù),。首次安裝時(shí),,Vultur會(huì)濫用這些服務(wù)來獲取所需的權(quán)限。而一旦安裝成功,,Vultur就會(huì)監(jiān)控所有觸發(fā)無障礙服務(wù)的請(qǐng)求,。

  隱蔽性更強(qiáng)

  Vultur使用這些服務(wù)監(jiān)測(cè)來自目標(biāo)應(yīng)用程序的請(qǐng)求,惡意軟件還使用這些服務(wù)通過一般手段對(duì)惡意軟件進(jìn)行刪除和清理,。每當(dāng)用戶嘗試訪問 Android 設(shè)置中的應(yīng)用程序詳細(xì)信息頁時(shí),,Vultur都會(huì)自動(dòng)單擊后退按鈕。這會(huì)妨礙用戶點(diǎn)擊卸載按鈕,,而且Vultur也隱藏了它自己的圖標(biāo),。

  Vultur保持隱蔽的另一種方式:安裝它的應(yīng)用程序是功能齊全的應(yīng)用程序,實(shí)際上會(huì)提供真正的服務(wù),,例如健身追蹤或雙因子身份驗(yàn)證,。然而不管怎么偽裝,Vultur都會(huì)以投影屏幕的形式出現(xiàn)在Android通知面板中,,這就暴露了它,。

  安裝成功后,,Vultur會(huì)使用Alpha VNC的VNC開始進(jìn)行屏幕錄制。為了提供對(duì)在受感染設(shè)備上運(yùn)行的 VNC 服務(wù)器的遠(yuǎn)程訪問,,Vultur使用 ngrok,,該應(yīng)用程序會(huì)使用加密隧道將隱藏在防火墻后面的本地系統(tǒng)暴露給公共互聯(lián)網(wǎng)。

  Vultur會(huì)由 Dropper程序來安裝,,ThreatFabric已經(jīng)在Google Play中發(fā)現(xiàn)了兩個(gè)安裝Vultur的Dropper應(yīng)用程序,。共計(jì)影響了超過 5000臺(tái)設(shè)備,,與其他依賴第三方Dropper的Android惡意軟件不同,,Vultur使用被稱為Brunhilda的自定義Dropper。

  Brunhilda與Vultur是由同一個(gè)組織開發(fā)的,,而Brunhilda過去曾被用來安裝不同的Android銀行惡意軟件,。據(jù)估計(jì),Brunhilda一共感染了超過3萬臺(tái)設(shè)備,。

  Vultur針對(duì)103個(gè)Android銀行應(yīng)用程序或加密貨幣應(yīng)用程序進(jìn)行竊密,,意大利、澳大利亞和西班牙是受攻擊最多的國家,。

  除了銀行應(yīng)用程序和加密貨幣應(yīng)用程序外,,該惡意軟件還會(huì)收集 Facebook、WhatsApp Messenger,、TikTok 和 Viber Messenger 的憑據(jù),。

  Google已經(jīng)刪除了所有已知包含 Brunhilda 的Googel Play 應(yīng)用程序,但Google表示新的木馬應(yīng)用程序可能仍會(huì)出現(xiàn),。Android用戶應(yīng)該只安裝提供有用服務(wù)的應(yīng)用程序,,而且盡可能只安裝來自知名發(fā)行商的應(yīng)用程序。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。