Το νέο Android malware που ονομάζεται Vultur μολύνει χιλιάδες συσκευές
Ένα προσφάτως ανιχνευμένο
Android malware
– ονομάζεται Vultur – που διαδόθηκε μέσω του
Google Play Store
, χρησιμοποιεί έναν καινοτόμο τρόπο για να συλλέξει login credentials από περισσότερες από 100 τραπεζικές
εφαρμογές
και
εφαρμογές
cryptocurrency
.
Το malware, το οποίο οι ερευνητές από την
εταιρεία
ασφαλείας
ThreatFabric αποκαλούν Vultur, συγκαταλέγεται μεταξύ των πρώτων απειλών Android που κάνουν record μια οθόνη συσκευής κάθε φορά που ανοίγει μία από τις στοχευμένες
εφαρμογές
. Το Vultur χρησιμοποιεί ένα πραγματικό implementation της εφαρμογής κοινής χρήσης οθόνης VNC για να αντικατοπτρίσει την οθόνη της μολυσμένης συσκευής σε server που ελέγχεται από εισβολείς, δήλωσαν οι ερευνητές της ThreatFabric.
Δείτε επίσης:
Malware Meteor: Επίθεση στο σιδηροδρομικό σύστημα του Ιράν
Ο τυπικός τρόπος λειτουργίας για bank-fraud malware με βάση το Android είναι η τοποθέτηση ενός παραθύρου πάνω από την οθόνη σύνδεσης που παρουσιάζεται από μια στοχευμένη
εφαρμογή
. Τα “overlay”, όπως συνήθως ονομάζονται τέτοια παράθυρα, φαίνονται πανομοιότυπα με τα user interface των τραπεζικών εφαρμογών, δίνοντας στα θύματα την εντύπωση ότι εισάγουν τα credentials τους σε ένα αξιόπιστο software. Οι εισβολείς στη συνέχεια συλλέγουν τα credentials, τα εισάγουν στην
εφαρμογή
που εκτελείται σε διαφορετική
συσκευή
και κλέβουν χρήματα.
Το Vultur, όπως και πολλά banking trojans Android, βασίζεται σε μεγάλο βαθμό στις
υπηρεσίες
προσβασιμότητας που είναι ενσωματωμένες στο λειτουργικό σύστημα κινητής τηλεφωνίας. Κατά την πρώτη εγκατάσταση, το Vultur καταχράται αυτές τις
υπηρεσίες
για να λάβει τα
δικαιώματα
που απαιτούνται για εργασία. Για να γίνει αυτό, το malware χρησιμοποιεί ένα overlay που έχει ληφθεί από άλλες οικογένειες κακόβουλων προγραμμάτων. Έκτοτε, το Vultur παρακολουθεί όλα τα αιτήματα που ενεργοποιούν τις
υπηρεσίες
προσβασιμότητας.
Δείτε επίσης:
Malware εμφανίζεται ως Windows 11 Installer και μολύνει
χρήστες
Το malware χρησιμοποιεί τις
υπηρεσίες
για τον εντοπισμό αιτημάτων που προέρχονται από μια στοχευμένη
εφαρμογή
. Επίσης, το malware χρησιμοποιεί τις
υπηρεσίες
για να σταματήσει τον χρήστη από τη χρήση παραδοσιακών μέτρων για τη
διαγραφή
της εφαρμογής. Συγκεκριμένα, κάθε φορά που ο χρήστης προσπαθεί να έχει πρόσβαση στην οθόνη λεπτομερειών εφαρμογής στις ρυθμίσεις του Android, το Vultur κάνει αυτόματα κλικ στο κουμπί επιστροφής. Αυτό αποκλείει την πρόσβαση του χρήστη στο κουμπί απεγκατάστασης. Το Vultur κρύβει και το εικονίδιο του.
Ένας άλλος τρόπος με τον οποίο το κακόβουλο λογισμικό παραμένει κρυφό: οι trojanized
εφαρμογές
που το εγκαθιστούν είναι προγράμματα πλήρους λειτουργίας που παρέχουν πραγματικές
υπηρεσίες
, όπως
παρακολούθηση
φυσικής κατάστασης ή έλεγχο ταυτότητας δύο παραγόντων. Παρά τις προσπάθειες για overlay, το κακόβουλο λογισμικό παρέχει τουλάχιστον ένα προειδοποιητικό σημάδι ότι λειτουργεί – όποια και να είναι η trojanized
εφαρμογή
που έχει εγκαταστήσει το Vultur, θα εμφανίζεται στον πίνακα ειδοποιήσεων Android καθώς προβάλλει την οθόνη.
Μόλις εγκατασταθεί, το Vultur ξεκινά την εγγραφή της οθόνης, χρησιμοποιώντας την
εφαρμογή
VNC από το Alpha VNC. Για να παρέχει απομακρυσμένη πρόσβαση στον VNC server που εκτελείται στη μολυσμένη
συσκευή
, το malware χρησιμοποιεί το ngrok, μια
εφαρμογή
που χρησιμοποιεί κρυπτογραφημένο tunnel για να εκθέτει τοπικά
συστήματα
που κρύβονται πίσω από τα firewalls στο δημόσιο Internet.
Το malware εγκαθίσταται από μια trojanized
εφαρμογή
γνωστή ως dropper. Μέχρι στιγμής, οι ερευνητές της ThreatFabric έχουν βρει δύο trojanized
εφαρμογές
στο Google Play που εγκαθιστούν το Vultur. Είχαν συνδυαστικά περίπου 5.000 installations, οδηγώντας τους ερευνητές στο να εκτιμήσουν ότι ο αριθμός των μολύνσεων από Vultur είναι χιλιάδες. Σε αντίθεση με τα περισσότερα κακόβουλα προγράμματα Android, τα οποία βασίζονται σε third-party droppers, το Vultur χρησιμοποιεί ένα προσαρμοσμένο dropper που ονομάζεται Brunhilda.
Οι ερευνητές διαπίστωσαν ότι το Brunhilda είχε χρησιμοποιηθεί για την εγκατάσταση διαφορετικού malware Android, γνωστού ως Alien. Συνολικά, οι ερευνητές εκτιμούν ότι το Brunhilda έχει μολύνει περισσότερες από 30.000
συσκευές
. Οι ερευνητές για την εκτίμηση τους βασίστηκαν σε
κακόβουλες
εφαρμογές
που ήταν προηγουμένως διαθέσιμες στο Play Store – μερικές με περισσότερες από 10.000 εγκαταστάσεις η καθεμία – καθώς και στοιχεία από αγορές τρίτων.
Το Vultur είναι προγραμματισμένο να κάνει record οθόνες όταν εκτελείται στο προσκήνιο οποιαδήποτε από τις 103
εφαρμογές
Android banking ή
cryptocurrency
.
Εκτός από τις τραπεζικές
εφαρμογές
και τις
εφαρμογές
cryptocurrency
, το κακόβουλο λογισμικό συλλέγει επίσης credentials για το Facebook, το WhatsApp messenger, το TikTok και το Viber Messenger.
Δείτε επίσης:
LemonDuck: Η Microsoft προειδοποιεί για το cryptomining malware που στοχεύει Windows και Linux
Ενώ η Google έχει καταργήσει όλες τις
εφαρμογές
του Play Market που είναι γνωστό ότι περιέχουν Brunhilda. Οι
χρήστες
Android πρέπει να εγκαθιστούν μόνο
εφαρμογές
που παρέχουν χρήσιμες
υπηρεσίες
και, ακόμη και τότε, μόνο
εφαρμογές
από γνωστούς publishers, όταν αυτό είναι δυνατόν. Οι
άνθρωποι
πρέπει επίσης να δίνουν μεγάλη προσοχή στις αξιολογήσεις των χρηστών και στη συμπεριφορά των εφαρμογών για ενδείξεις κακοήθειας.
Πηγή πληροφοριών: arstechnica.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.