扫码领资料
获网安教程
近日,名为 Vultur 的安卓银行木马重新出现,并且新增了一系列功能以及改了反分析和检测规避技术,使攻击者能够与移动设备远程交互并收集敏感数据。
据NCC Group研究员Joshua Kamp表示,Vultur 还开始通过加密其 C2 通信、使用多个即时解密的加密有效负载以及使用合法应用程序进行伪装来执行其恶意行为。
Vultur于 2021 年初首次被披露,该恶意软件能够利用安卓的辅助功能服务 API 来执行其恶意操作。据观察,该恶意软件通过 Google Play 商店中的木马植入应用程序进行分发,伪装成身份验证器和生产力应用程序,诱骗不知情的用户安装它们。这些 Dropper 应用程序作为名为 Brunhilda 的 Dropper 即服务 (DaaS) 操作的一部分提供。
NCC Group 观察到的其他攻击链包括使用短信和电话相结合的方式传播植入程序,最终提供恶意软件的更新版本。
研究员Joshua Kamp表示,第一条短信引导受害者拨打电话,当受害者拨打该号码时,欺诈者会向受害者提供第二条短信,其中包含指向木马的链接:[看起来合法的] McAfee Security 应用程序的修改版本。第一条短信目的在于通过指示接收者拨打一个号码来授权一项涉及大笔资金的虚假交易,从而引发接受者的紧迫感。待接受者安装后,恶意植入程序会执行三个相关的有效负载(两个 APK 和一个 DEX 文件),这些负载向 C2 服务器注册机器人、通过 AlphaVNC 和 ngrok 获取远程访问服务权限,并运行从 C2 服务器获取的命令。
Vultur 的一项突出功能是能够与受感染的设备进行远程交互,包括通过 Android 的辅助服务进行点击、滚动和滑动,以及下载、上传、删除、安装和查找文件。
此外,该恶意软件还可以阻止受害者与预定义的应用程序列表进行交互,在状态栏中显示自定义通知,甚至禁用Keyguard以绕过锁屏安全措施。
研究员Joshua Kamp表示,Vultur 最近的发展重点已转向最大限度地远程控制受感染的设备,凭借发出滚动、滑动手势、点击、音量控制、阻止应用程序运行甚至合并文件管理器功能的命令的能力,很明显,主要目标是获得对受感染设备的完全控制。
与此同时,Cymru 团队披露了Octo(又名 Coper)安卓银行木马向恶意软件即服务操作的转变,向其他攻击者提供服务以进行信息盗窃。
此外,该恶意软件提供了各种高级功能,包括键盘记录、短信和推送通知拦截以及对设备屏幕的控制。通过显示虚假屏幕或覆盖层,采用各种注入来窃取密码和登录凭据等敏感信息。它还利用 VNC(虚拟网络计算)远程访问设备,从而增强其监控能力。
据估计,Octo 活动已损害 45,000 台设备,主要分布在葡萄牙、西班牙、土耳其和美国。其他一些受害者位于法国、荷兰、加拿大、印度和日本。
调查结果还出现在印度出现了一项针对 Android 用户的新活动,该活动通过恶意软件即服务 (MaaS) 产品分发冒充在线预订、计费和快递服务的恶意 APK 软件包。
博通旗下的赛门铁克在一份公告中表示,该恶意软件的目标是从受害者的设备上窃取银行信息、短信和其他机密信息。
McAfee Labs 进一步披露了正在进行的活动,称该恶意软件已嵌入 800 多个应用程序中。超过 3,700 台 Android 设备已受到损害。它将 MaaS 服务归功于一家名为 Elvia Infotech 的印度网络组织。
安全研究人员 ZePeng Chen 和 Wenfeng Yu表示,诈骗者通常通过电话、短信、电子邮件或社交应用程序联系受害者,通知他们需要重新安排服务,这种诈骗攻击是一种典型且有效的诈骗手段。受害者被要求下载特定的应用程序,并提交个人信息。一旦这些信息落入诈骗者手中,他们就可以轻松窃取受害者的资金。
原文地址:https://thehackernews.com/2024/04/vultur-android-banking-trojan-returns.html
图片来源:https://thehackernews.com/2024/04/vultur-android-banking-trojan-returns.html
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):Vultur 安卓银行木马升级远程控制功能后“卷土重来”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论