Android-вредонос Vultur использует удаленный доступ VNC для кражи паролей

Операторы нового трояна для удаленного доступа (RAT), получившего название Vultur, используют функции записи экрана для кражи конфиденциальной информации с Android-устройств, включая банковские учетные данные.

Вредонос использует технологию удаленного доступа к экрану Virtual Network Computing (VNC) для обеспечения слежки за пользователями. Вредоносное ПО распространялось через официальный магазин Google Play Store и маскировалось под приложение Protection Guard с более чем 5 тыс. установок.

«Впервые мы видим банковский троян для Android-устройств, который использует запись экрана и кейлоггеры в качестве основной стратегии для автоматического и масштабируемого сбора учетных данных для входа в систему. Злоумышленники предпочли отказаться от общей разработки HTML-оверлеев, которые мы обычно наблюдаем в других банковских троянах для Android. Данный подход обычно требует от хакеров больших затрат времени и усилий для создания нескольких оверлеев, способных обмануть пользователя. Вместо этого они решили просто записывать то, что отображается на экране и получать тот же конечный результат», — отметили исследователи из компании ThreatFabric.

По словам специалистов, в последнее время операторы банковских троянов все чаще отказываются от тактики с использованием оверлейных атак. Например, операторы UBEL, представляющего собой обновленный вариант вредоноса Oscorp, использовали протокол WebRTC для взаимодействия со скомпрометированным телефоном под управлением Android в режиме реального времени. Vultur применяет аналогичную тактику — он использует преимущества разрешений доступа для захвата нажатий клавиш и использует функцию записи экрана VNC для незаметной слежки за всеми действиями пользователя.

Более того, вредоносная программа использует кроссплатформенную утилиту ngrok для подключения локальных серверов, защищенных Network Address Translation (NAT), и межсетевых экранов к интернету через защищенные туннели с целью обеспечения удаленного доступа к серверу VNC, работающему локально на телефоне. Кроме того, вредонос устанавливает соединения с C&C-сервером для получения команд через Firebase Cloud Messaging (FCM) и передачи украденных данных обратно на сервер.