Vultur 安卓银行木马“卷土重来”，新增远程控制功能

近日，NCC Group 研究员 Joshua Kamp发现 Vultur 安卓银行木马再一次“卷土重来”。

这一次，Vultur 新增了一系列新功能，开始通过加密其 C2 通信、使用多个加密有效载荷（这些有效载荷会在运行过程中解密）以及使用合法应用程序的“幌子”来实施其恶意行为。同时还改进了反分析和检测规避技术，使其操作者能够远程与移动设备交互并获取敏感数据。

据悉，Vultur 最早于2021年初被首次披露，该恶意软件能够利用安卓的可访问性服务API来执行其恶意行动。

据 NCC Group 观察，该恶意软件是通过谷歌Play商店上的木马程序传播的，它们伪装成身份验证器和生产力应用程序，诱导用户安装。这些插件应用程序是 "Brunhilda "的插件即服务（DaaS）的一部分。其他攻击链涉及利用短信和电话组合传播滴注程序，这种技术被称为面向电话的攻击交付（TOAD）。

Joshua Kamp 表示：该插件发出的第一条短信会引导受害者拨打电话。当受害者拨打该号码时，欺诈者会向受害者发送第二条短信，其中包括指向恶意程序的链接。

第一条短信的目的是通过指示收件人拨打号码以完成授权涉及大笔资金的虚假交易，从而诱发一种虚假的紧迫感。待受害者安装后，恶意程序就会执行三个相关的有效载荷（两个 APK 和一个 DEX 文件），这些有效载荷会将机器人注册到 C2 服务器，通过 AlphaVNC 和 ngrok 获取远程访问服务权限，并运行从 C2 服务器获取的命令。

Vultur 的一个显著特点是能够与受感染的设备进行远程交互，包括通过安卓的辅助服务进行点击、滚动和轻扫，以及下载、上传、删除、安装和查找文件。

此外，该恶意软件还能阻止受害者与预定义的应用程序列表进行交互，在状态栏中显示自定义通知，甚至禁用键盘防护以绕过锁屏安全措施。

Joshua Kamp 认为，Vultur最近的发展表明其重点已转向最大限度地实现对受感染设备的远程控制。Vultur能够发出滚动、轻扫手势、点击、音量控制、阻止应用程序运行等指令，甚至还集成了文件管理器功能，显然其主要目的是获得对受感染设备的完全控制权。

赛姆鲁团队近日披露了 Octo（又名 Coper）安卓银行木马向恶意软件即服务（malware-as-a-service）业务转型的进展，该软件正向其他威胁行为者提供信息窃取服务。

此外，该恶意软件还提供多种高级功能，包括键盘记录、拦截短信和推送通知，以及控制设备屏幕。它利用各种注入程序，通过显示伪造屏幕或覆盖层来窃取密码和登录凭证等敏感信息。此外，它还利用 VNC（虚拟网络计算）远程访问设备，增强其监控能力。

据统计，Octo 至少已入侵了 4.5 万台设备，这些设备主要分布在葡萄牙、西班牙、土耳其、美国、法国、荷兰、加拿大、印度和日本。

该恶意软件通过恶意软件即服务（MaaS）分发恶意 APK 包，冒充在线预订、计费和快递服务。

博通公司旗下的赛门铁克公司在一份公告中提到，该恶意软件 的目标是从受害者的设备上窃取银行信息、短信和其他机密信息。

麦克菲实验室对此进行了进一步研究说明，称该恶意软件已被嵌入到了 800 多个应用程序中。并且有超过 3700 台安卓设备已被入侵。麦克菲实验室称是一个名为 Elvia Infotech的印度网络组织开发了这种 MaaS 服务。

骗子通常会通过电话、短信、电子邮件或社交应用联系受害者，告知他们需要重新为其安排银行账户服务。这种欺诈攻击是一种典型而有效的欺诈方法。

受害者会被要求下载一个特定的应用程序，并提交个人信息。一旦这些信息落入骗子手中，他们就可以轻松地从受害者的银行账户中窃取资金。

原文始发于微信公众号（FreeBuf）：Vultur 安卓银行木马“卷土重来”，新增远程控制功能