新的安卓恶意软件使用VNC来监视和窃取受害者的密码

一个以前未经注册的基于Android的远程访问特洛伊木马（RAT）被发现使用屏幕记录功能窃取设备上的敏感信息，包括银行凭证，并为设备上的欺诈打开大门。

由于使用虚拟网络计算（VNC）的远程屏幕共享技术来获得目标用户的完全可视性，该移动恶意软件被称为“Vultur”，通过官方的谷歌Play商店分发，伪装成一个名为“Protection Guard”的应用程序，吸引了5000多个安装。意大利、澳大利亚和西班牙实体的银行和加密钱包应用程序是主要目标。

ThreatFabric的研究人员在与《黑客新闻》分享的一篇文章中说：“这是我们第一次看到安卓银行特洛伊木马，它将屏幕记录和键盘记录作为以自动化和可扩展的方式获取登录凭据的主要策略。”。

“参与者选择避开我们通常在其他Android banking特洛伊木马中看到的常见HTML覆盖开发：这种方法通常需要参与者投入更多的时间和精力来创建能够欺骗用户的多个覆盖。相反，他们选择只记录屏幕上显示的内容，有效地获得同样的结果。"

而银行业的恶意软件，如MysteryBot、Grandoreiro、Banker。BR和Vizom传统上依赖于覆盖攻击—；i、 例如，创建银行登录页面的虚假版本，并将其覆盖在合法应用程序—上；为了诱骗受害者泄露密码和其他重要的私人信息，越来越多的证据表明，威胁行为人正在偏离这种做法。

在本周早些时候发布的一份报告中，意大利网络安全公司Cleafy发现了Oscorp的一个更新版本UBEL，它被观察到使用WebRTC与受损的Android手机进行实时交互。Vultur采用了一种类似的策略，它利用可访问性权限捕获击键，并利用VNC的屏幕记录功能秘密记录手机上的所有活动，从而避免了注册新设备的需要，并使银行难以发现欺诈行为。

此外，该恶意软件还利用ngrok（一种跨平台工具，用于通过安全隧道将NAT和防火墙后面的本地服务器暴露到公共互联网上）提供对手机上本地运行的VNC服务器的远程访问。此外，它还与指挥与控制（C2）服务器建立连接，通过Firebase Cloud Messaging（FCM）接收命令，然后将结果（包括提取的数据和屏幕截图）传输回服务器。

ThreatFabric的调查还将Vultur与另一个著名的恶意软件Brunhilda联系在一起。Brunhilda是一个滴管，利用Play Store在所谓的“滴管即服务”（DaaS）操作中分发不同种类的恶意软件，称其源代码和用于促进攻击的C2基础设施存在重叠。

总部位于阿姆斯特丹的网络安全服务公司表示，这些联系表明，Brunhilda是一家私人运营的威胁行动方，拥有自己的滴管和专有的RAT Vultur。

研究人员总结道：“Vultur的故事再一次展示了参与者如何从使用在地下市场上出售的租用特洛伊木马（MAA）转向为这一群体的需求量身定制的专有/私人恶意软件。”。“这些攻击具有可扩展性和自动化，因为执行欺诈的操作可以在恶意软件后端编写脚本，并以命令序列的形式发送，从而使参与者很容易击中并逃跑。”