Android 银行木马 Vultur 使用屏幕录制来窃取凭据

ThreatFabric 研究人员发现了一种新的 Android 银行木马，跟踪为 Vultur，它使用屏幕录制和键盘记录来捕获登录凭据。

Vultur 于 2021 年 3 月下旬首次被发现，它通过从 AlphaVNC 中获取的 VNC（虚拟网络计算）实现获得了对受害者设备的全面可见性。

“我们第一次看到一个 Android 银行木马，它将屏幕录制和键盘记录作为主要策略，以自动化和可扩展的方式收集登录凭据。攻击者选择避开我们通常在其他 Android 银行木马中看到的常见 HTML 覆盖策略：这种方法通常需要攻击者花费更多时间和精力来窃取用户的相关信息。相反，他们选择简单地记录屏幕上显示的内容，有效地获得了相同的最终结果。” 阅读ThreatFabric 发布的分析。

Vultur 所针对的大多数应用程序都属于意大利、澳大利亚和西班牙的银行，专家们发现了与一个名为 Brunhilda 的流行滴管框架的链接。

专家发现至少有 2 个 dropper 应用程序连接到 Vultur，其中一个从 Google Play 安装了 5000 多个。专家认为，该恶意软件已经感染了数千台设备。

Vultur 使用 ngrok提供对设备上运行的 VNC 服务器的远程访问。

银行木马利用可访问性服务来确定前台的应用程序。如果该应用程序包含在 Vultur 的目标应用程序列表中，它将启动屏幕录制会话。

恶意软件出现在伪装成名为“Protection Guard”的应用程序的通知面板中。

Vultur 还利用辅助功能服务来记录在屏幕上按下的所有键并防止手动卸载应用程序。

该恶意软件还专注于窃取加密钱包凭据和社交媒体应用程序。

“Vultur 的故事再次展示了攻击者如何从使用在地下市场上出售的租用木马 (MaaS) 转变为针对攻击者的需求量身定制的专有/私有恶意软件。它使我们能够观察到一组涵盖恶意软件的分发和操作过程。” 报告结束。“移动平台上的银行威胁不再仅基于众所周知的覆盖攻击，而是演变成类似 RAT 的恶意软件，继承了检测前台应用程序以开始屏幕录制等有用技巧。这将威胁带到了另一个层次，因为这些功能为设备上的欺诈打开了大门，规避了基于网络钓鱼 MO 的检测，这些检测要求从新设备上执行欺诈。”