Банковский троянец для Android, известный как Vultur, появился с набором новых функций и улучшенными методами антианализа и уклонения от обнаружения, что позволяет его операторам удаленно взаимодействовать с мобильным устройством и собирать конфиденциальные данные.
"Vultur также начал больше маскировать свою вредоносную активность, шифруя свои сообщения C2, используя множество зашифрованных полезных данных, которые расшифровываются на лету, и используя вид законных приложений для выполнения своих вредоносных действий", - сказал исследователь NCC Group Джошуа Камп в отчете, опубликованном на прошлой неделе.
Vultur был впервые раскрыт в начале 2021 года, поскольку вредоносная программа способна использовать API-интерфейсы специальных возможностей Android для выполнения своих вредоносных действий.
Было замечено, что вредоносное ПО распространяется через троянские приложения-дропперы в магазине Google Play Store, маскируясь под аутентификатор и приложения для повышения производительности, чтобы обманом заставить невольных пользователей установить их. Эти приложения-дропперы предлагаются как часть операции "Дроппер как услуга" (DaaS) под названием Brunhilda.
Другие цепочки атак, по наблюдениям NCC Group, включают распространение дропперов с использованием комбинации SMS–сообщений и телефонных звонков - техника, называемая telephone-oriented attack delivery (TOAD), – чтобы в конечном итоге обслуживать обновленную версию вредоносного ПО.
"Первое SMS-сообщение направляет жертву к телефонному звонку", - сказал Камп. Когда жертва набирает номер, мошенник отправляет жертве второе SMS, содержащее ссылку на dropper: модифицированную версию [законного] приложения McAfee Security."
Первоначальное SMS-сообщение направлено на то, чтобы вызвать ложное чувство срочности, проинструктировав получателей позвонить по номеру для авторизации несуществующей транзакции, в которой участвует крупная сумма денег.
После установки вредоносный дроппер выполняет три связанные полезные загрузки (два APK и один файл DEX), которые регистрируют бота на сервере C2, получают разрешения служб специальных возможностей для удаленного доступа через AlphaVNC и ngrok и выполняют команды, полученные с сервера C2.
Одним из важных дополнений к Vultur является возможность удаленного взаимодействия с зараженным устройством, включая клики, прокрутку и пролистывание через службы специальных возможностей Android, а также загрузку, выгрузку, удаление, установку и поиск файлов.
Кроме того, вредоносная программа не позволяет жертвам взаимодействовать с предопределенным списком приложений, отображать пользовательские уведомления в строке состояния и даже отключать Keyguard для обхода мер безопасности экрана блокировки.
"Последние разработки Vultur показали смещение акцента в сторону максимального удаленного контроля над зараженными устройствами", - сказал Камп.
"Благодаря возможности выдавать команды для прокрутки, жестов прокрутки, щелчков мышью, регулировки громкости, блокирования запуска приложений и даже включению функций файлового менеджера становится ясно, что основной целью является получение полного контроля над скомпрометированными устройствами ".
Разработка началась после того, как команда Cymru сообщила о переходе Octo (он же Coper) банковского трояна для Android на принцип "вредоносное ПО как услуга", предлагая свои услуги другим субъектам угрозы для кражи информации.
"Вредоносная программа предлагает множество расширенных функций, включая ведение кейлогга, перехват SMS-сообщений и push-уведомлений, а также контроль над экраном устройства", - сказали в компании.
"Он использует различные инъекции для кражи конфиденциальной информации, такой как пароли и учетные данные для входа, путем отображения поддельных экранов или наложений. Кроме того, он использует VNC (виртуальные сетевые вычисления) для удаленного доступа к устройствам, расширяя свои возможности наблюдения. "
По оценкам, кампании Octo скомпрометировали 45 000 устройств, в основном в Португалии, Испании, Турции и США. Некоторые другие жертвы находятся во Франции, Нидерландах, Канаде, Индии и Японии.
Выводы также следуют за появлением новой кампании, нацеленной на пользователей Android в Индии, которая распространяет вредоносные APK-пакеты, выдаваемые за онлайн-бронирование, выставление счетов и курьерские услуги через предложение "вредоносное ПО как услуга" (MaaS).
Вредоносная программа "нацелена на кражу банковской информации, SMS-сообщений и другой конфиденциальной информации с устройств жертв", - говорится в бюллетене Symantec, принадлежащей Broadcom.
McAfee Labs, которая пролила больше света на текущую кампанию, заявила, что вредоносное ПО внедрено в более чем 800 приложений. Более 3700 устройств Android были скомпрометированы. Он приписал сервис MaaS индийской кибергруппе Elvia Infotech.
"[Мошенники] обычно связываются с жертвами по телефону, текстовым сообщением, электронной почте или через социальные приложения, чтобы сообщить им, что им необходимо перенести сроки предоставления услуг", - сказали исследователи безопасности Цепенг Чен и Вэньфэн Юй.
"Этот вид мошеннической атаки является типичным и эффективным методом мошенничества. В результате жертв просят загрузить определенное приложение и предоставить личную информацию. Как только эта информация попадает в руки мошенников, они могут легко украсть средства с банковского счета жертвы."
"Vultur также начал больше маскировать свою вредоносную активность, шифруя свои сообщения C2, используя множество зашифрованных полезных данных, которые расшифровываются на лету, и используя вид законных приложений для выполнения своих вредоносных действий", - сказал исследователь NCC Group Джошуа Камп в отчете, опубликованном на прошлой неделе.
Vultur был впервые раскрыт в начале 2021 года, поскольку вредоносная программа способна использовать API-интерфейсы специальных возможностей Android для выполнения своих вредоносных действий.
Было замечено, что вредоносное ПО распространяется через троянские приложения-дропперы в магазине Google Play Store, маскируясь под аутентификатор и приложения для повышения производительности, чтобы обманом заставить невольных пользователей установить их. Эти приложения-дропперы предлагаются как часть операции "Дроппер как услуга" (DaaS) под названием Brunhilda.
Другие цепочки атак, по наблюдениям NCC Group, включают распространение дропперов с использованием комбинации SMS–сообщений и телефонных звонков - техника, называемая telephone-oriented attack delivery (TOAD), – чтобы в конечном итоге обслуживать обновленную версию вредоносного ПО.
"Первое SMS-сообщение направляет жертву к телефонному звонку", - сказал Камп. Когда жертва набирает номер, мошенник отправляет жертве второе SMS, содержащее ссылку на dropper: модифицированную версию [законного] приложения McAfee Security."
Первоначальное SMS-сообщение направлено на то, чтобы вызвать ложное чувство срочности, проинструктировав получателей позвонить по номеру для авторизации несуществующей транзакции, в которой участвует крупная сумма денег.
После установки вредоносный дроппер выполняет три связанные полезные загрузки (два APK и один файл DEX), которые регистрируют бота на сервере C2, получают разрешения служб специальных возможностей для удаленного доступа через AlphaVNC и ngrok и выполняют команды, полученные с сервера C2.
Одним из важных дополнений к Vultur является возможность удаленного взаимодействия с зараженным устройством, включая клики, прокрутку и пролистывание через службы специальных возможностей Android, а также загрузку, выгрузку, удаление, установку и поиск файлов.
Кроме того, вредоносная программа не позволяет жертвам взаимодействовать с предопределенным списком приложений, отображать пользовательские уведомления в строке состояния и даже отключать Keyguard для обхода мер безопасности экрана блокировки.
"Последние разработки Vultur показали смещение акцента в сторону максимального удаленного контроля над зараженными устройствами", - сказал Камп.
"Благодаря возможности выдавать команды для прокрутки, жестов прокрутки, щелчков мышью, регулировки громкости, блокирования запуска приложений и даже включению функций файлового менеджера становится ясно, что основной целью является получение полного контроля над скомпрометированными устройствами ".
Разработка началась после того, как команда Cymru сообщила о переходе Octo (он же Coper) банковского трояна для Android на принцип "вредоносное ПО как услуга", предлагая свои услуги другим субъектам угрозы для кражи информации.
"Вредоносная программа предлагает множество расширенных функций, включая ведение кейлогга, перехват SMS-сообщений и push-уведомлений, а также контроль над экраном устройства", - сказали в компании.
"Он использует различные инъекции для кражи конфиденциальной информации, такой как пароли и учетные данные для входа, путем отображения поддельных экранов или наложений. Кроме того, он использует VNC (виртуальные сетевые вычисления) для удаленного доступа к устройствам, расширяя свои возможности наблюдения. "
По оценкам, кампании Octo скомпрометировали 45 000 устройств, в основном в Португалии, Испании, Турции и США. Некоторые другие жертвы находятся во Франции, Нидерландах, Канаде, Индии и Японии.
Выводы также следуют за появлением новой кампании, нацеленной на пользователей Android в Индии, которая распространяет вредоносные APK-пакеты, выдаваемые за онлайн-бронирование, выставление счетов и курьерские услуги через предложение "вредоносное ПО как услуга" (MaaS).
Вредоносная программа "нацелена на кражу банковской информации, SMS-сообщений и другой конфиденциальной информации с устройств жертв", - говорится в бюллетене Symantec, принадлежащей Broadcom.
McAfee Labs, которая пролила больше света на текущую кампанию, заявила, что вредоносное ПО внедрено в более чем 800 приложений. Более 3700 устройств Android были скомпрометированы. Он приписал сервис MaaS индийской кибергруппе Elvia Infotech.
"[Мошенники] обычно связываются с жертвами по телефону, текстовым сообщением, электронной почте или через социальные приложения, чтобы сообщить им, что им необходимо перенести сроки предоставления услуг", - сказали исследователи безопасности Цепенг Чен и Вэньфэн Юй.
"Этот вид мошеннической атаки является типичным и эффективным методом мошенничества. В результате жертв просят загрузить определенное приложение и предоставить личную информацию. Как только эта информация попадает в руки мошенников, они могут легко украсть средства с банковского счета жертвы."
