نسخه جدیدی از یک تروجان بانکی اندرویدی شناخته شده در حال چرخش در اینترنت است و داده های حساس و احتمالاً حتی پول را از قربانیانش می دزدد.
محققان امنیت سایبری از گروه NCC Fox-IT زنگ خطر نسخه جدید و ارتقا یافته تروجان بانکی Vultur را به صدا درآوردند که برای اولین بار در اوایل سال 2021 مشاهده شد اما از آن زمان تاکنون تعدادی تغییرات و ارتقاءهای مهم دریافت کرده است.
در حالی که نسخههای قبلی از طریق برنامههای dropper که به صورت قاچاق به Play Store منتقل شده بودند، توزیع میشد، این نسخه جدید از ترکیبی از smishing و سوء استفاده قانونی از برنامه استفاده میکند. محققان گفتند که مهاجمان ابتدا یک پیام کوتاه برای قربانیان خود ارسال میکنند و به آنها در مورد تراکنش پرداخت غیرمجاز هشدار میدهند و یک شماره تلفن برای تماس قربانی به اشتراک میگذارند.
تصاحب کامل
اگر قربانی طعمه را بگیرد و با شماره تماس بگیرد، مهاجم آنها را متقاعد میکند تا یک نسخه آسیبدیده از برنامه امنیتی McAfee را دانلود کنند. در حالی که در سطح برنامه همانطور که در نظر گرفته شده است کار می کند، در پس زمینه قطره چکان بدافزار Brunhilda را ارائه می دهد. این قطره چکان سه بار شامل دو فایل APK و یک فایل DEX را رها می کند که پس از دریافت خدمات دسترسی، با سرور فرمان و کنترل (C2) ارتباط برقرار می کند و به مهاجمان کنترل از راه دور دستگاه اندرویدی را می دهد.
برای یک تروجان، Vultur کاملاً شایسته است. میتواند صفحه را ضبط کند، ضربههای کلید را ثبت کند و از طریق AlphaVNC و ngrok به مهاجمان دسترسی از راه دور بدهد. علاوه بر این، به مهاجمان اجازه میدهد فایلها را دانلود و آپلود کنند، برنامهها را نصب کنند، فایلها را حذف کنند، روی دستگاه کلیک کنند، اسکرول کنند و انگشت خود را روی دستگاه بکشند و اجرای برنامههای مختلف را مسدود کنند. همچنین میتواند اعلانهای سفارشی را نمایش دهد و Keyguard را برای دور زدن صفحه قفل غیرفعال کند.
در نهایت، Vultur ارتباطات C2 خود را برای فرار بیشتر از شناسایی رمزگذاری می کند.
طبق معمول، بهترین راه برای دفاع در برابر این تهدیدات استفاده از عقل سلیم و دانلود اپلیکیشن ها از مخازن قانونی و اثبات شده است.
از طریق Bleeping Computer
ارسال نظر