最近研究人员在 Google Play 中发现一种新型 Android 恶意软件,已经波及了一百多个银行和加密货币应用程序。
荷兰安全公司 ThreatFabric 的研究人员将该种恶意软件命名为 Vultur。该恶意软件会在目标应用程序打开时记录屏幕,Vultur 会使用 VNC 屏幕共享将失陷主机的屏幕镜像到攻击者控制的服务器。
欺诈新时代
Android 窃密恶意软件的典型手法是在目标应用程序的登陆窗口上叠加一层透明窗口或者与目标应用程序相同的界面窗口。将用户的隐私信息收集起来,再换一个地方转移资金。
ThreatFabric 的研究人员在 Vultur 中发现:
“移动平台上的窃密威胁不再仅仅基于众所周知的覆盖层攻击,而是演变成类似远控的恶意软件,却也继承了检测前台应用程序并开始屏幕录制等传统方式”。
这就将威胁继续推高到另一个水平,Vultur 的攻击是可以扩展并自动化的,欺诈的手法可以在后端编写脚本并下发到受害设备。
与许多 Android 银行木马程序一样,Vultur 严重依赖于移动操作系统中内置的辅助功能服务。首次安装时,Vultur 会滥用这些服务来获取所需的权限。而一旦安装成功,Vultur 就会监控所有触发无障碍服务的请求。
隐蔽性更强
Vultur 使用这些服务监测来自目标应用程序的请求,恶意软件还使用这些服务通过一般手段对恶意软件进行删除和清理。每当用户尝试访问 Android 设置中的应用程序详细信息页时,Vultur 都会自动单击后退按钮。这会妨碍用户点击卸载按钮,而且 Vultur 也隐藏了它自己的图标。
Vultur 保持隐蔽的另一种方式:安装它的应用程序是功能齐全的应用程序,实际上会提供真正的服务,例如健身追踪或双因子身份验证。然而不管怎么伪装,Vultur 都会以投影屏幕的形式出现在 Android 通知面板中,这就暴露了它。
安装成功后,Vultur 会使用 Alpha VNC 的 VNC 开始进行屏幕录制。为了提供对在受感染设备上运行的 VNC 服务器的远程访问,Vultur 使用 ngrok,该应用程序会使用加密隧道将隐藏在防火墙后面的本地系统暴露给公共互联网。
Vultur 会由 Dropper 程序来安装,ThreatFabric 已经在 Google Play 中发现了两个安装 Vultur 的 Dropper 应用程序。共计影响了超过 5000 台设备,与其他依赖第三方 Dropper 的 Android 恶意软件不同,Vultur 使用被称为 Brunhilda 的自定义 Dropper。
Brunhilda 与 Vultur 是由同一个组织开发的,而 Brunhilda 过去曾被用来安装不同的 Android 银行恶意软件。据估计,Brunhilda 一共感染了超过 3 万台设备。
Vultur 针对103 个 Android 银行应用程序或加密货币应用程序进行窃密,意大利、澳大利亚和西班牙是受攻击最多的国家。
除了银行应用程序和加密货币应用程序外,该恶意软件还会收集 Facebook、WhatsApp Messenger、TikTok 和 Viber Messenger 的凭据。
Google 已经删除了所有已知包含 Brunhilda 的 Googel Play 应用程序,但 Google 表示新的木马应用程序可能仍会出现。Android 用户应该只安装提供有用服务的应用程序,而且尽可能只安装来自知名发行商的应用程序。