Một trojan truy cập từ xa (RAT) dựa trên Android không có giấy tờ trước đây đã được phát hiện sử dụng các tính năng ghi màn hình để lấy cắp thông tin nhạy cảm trên thiết bị, bao gồm thông tin xác thực ngân hàng và mở cửa cho gian lận trên thiết bị.
Được mệnh danh là “Vultur” do sử dụng công nghệ chia sẻ màn hình từ xa của Máy tính mạng ảo (VNC) để có được khả năng hiển thị đầy đủ đối với những người dùng được nhắm mục tiêu, phần mềm độc hại di động đã được phân phối qua Cửa hàng Google Play chính thức và được giả dạng là một ứng dụng có tên “Bảo vệ bảo vệ , “thu hút hơn 5000 lượt cài đặt. Các ứng dụng ngân hàng và ví tiền điện tử từ các tổ chức ở Ý, Úc và Tây Ban Nha là mục tiêu chính.
“Lần đầu tiên chúng tôi thấy một trojan ngân hàng Android có tính năng ghi màn hình và ghi lại bàn phím là chiến lược chính để thu thập thông tin đăng nhập theo cách tự động và có thể mở rộng”, các nhà nghiên cứu từ ThreatFainst nói trong một bài viết được chia sẻ với The Hacker News.
“Các tác nhân đã chọn tránh xa cách phát triển lớp phủ HTML phổ biến mà chúng ta thường thấy trong các Trojan ngân hàng Android khác: cách tiếp cận này thường yêu cầu đầu tư thời gian và công sức lớn hơn từ các tác nhân để tạo nhiều lớp phủ có khả năng lừa người dùng. Thay vào đó, họ đã chọn chỉ cần ghi lại những gì được hiển thị trên màn hình, thu được kết quả cuối cùng một cách hiệu quả. “
Trong khi phần mềm độc hại ngân hàng như MysteryBot, Grandoreiro, Banker.BR, và Vizom có truyền thống dựa vào các cuộc tấn công lớp phủ – tức là, tạo một phiên bản sai của trang đăng nhập của ngân hàng và phủ nó lên trên ứng dụng hợp pháp – để lừa nạn nhân tiết lộ mật khẩu và thông tin cá nhân quan trọng khác, bằng chứng cho thấy các tác nhân đe dọa đang xoay chuyển khỏi phương pháp này.
Trong một báo cáo được công bố vào đầu tuần này, công ty an ninh mạng Cleafy của Ý đã phát hiện ra UBEL, một biến thể cập nhật của Oscorp, đã được quan sát thấy bằng cách sử dụng WebRTC để tương tác với điện thoại Android bị xâm phạm trong thời gian thực. Vultur áp dụng một chiến thuật tương tự, trong đó nó tận dụng quyền truy cập để nắm bắt các lần gõ phím và sử dụng tính năng ghi màn hình của VNC để ghi lại lén lút mọi hoạt động trên điện thoại, do đó không cần đăng ký một thiết bị mới và khiến các ngân hàng khó phát hiện ra gian lận.
Hơn nữa, phần mềm độc hại sử dụng ngrok, một tiện ích đa nền tảng được sử dụng để hiển thị các máy chủ cục bộ đằng sau NAT và tường lửa với internet công cộng qua các đường hầm an toàn, để cung cấp quyền truy cập từ xa vào máy chủ VNC đang chạy cục bộ trên điện thoại. Ngoài ra, nó cũng thiết lập kết nối với máy chủ lệnh và điều khiển (C2) để nhận lệnh qua Nhắn tin qua đám mây Firebase (FCM), kết quả trong đó, bao gồm dữ liệu trích xuất và ảnh chụp màn hình, sau đó được truyền trở lại máy chủ.
Cuộc điều tra của ThreatFnai cũng kết nối Vultur với một phần mềm độc hại nổi tiếng khác có tên Brunhilda, một công cụ nhỏ giọt sử dụng Cửa hàng Play để phân phối các loại phần mềm độc hại khác nhau trong cái gọi là hoạt động “dropper-as-a-service” (DaaS), với lý do chồng chéo trong mã nguồn và cơ sở hạ tầng C2 được sử dụng để tạo điều kiện cho các cuộc tấn công.
Các mối quan hệ này, công ty dịch vụ an ninh mạng có trụ sở tại Amsterdam cho biết, cho thấy Brunhilda là một tác nhân đe dọa hoạt động tư nhân có ống nhỏ giọt riêng và RAT Vultur độc quyền.
Các nhà nghiên cứu kết luận: “Câu chuyện của Vultur cho thấy một lần nữa cách các diễn viên chuyển từ việc sử dụng Trojan thuê (MaaS) được bán trên các thị trường ngầm sang phần mềm độc quyền / riêng tư phù hợp với nhu cầu của nhóm này”, các nhà nghiên cứu kết luận. “Các cuộc tấn công này có thể mở rộng và tự động vì các hành động thực hiện gian lận có thể được viết theo kịch bản trên phần mềm phụ trợ phần mềm độc hại và được gửi dưới dạng chuỗi lệnh, giúp (các) tác nhân dễ dàng thực hiện hành vi gian lận.”
