Vulturデータ収集RATに悩まされているAndroidユーザー
セキュリティ研究者は、世界中のAndroidベースのデバイスからデータを収集している新しいリモートアクセストロイの木馬(RAT)を発見しました。 Vulturと呼ばれるRATは、ログインクレデンシャルとバンキングの詳細を収集し、感染したデバイスでリモートコード実行(RCE)をトリガーすることができます。
目次
変装した悪魔
通常スパムとスポンサーリンクに依存して伝播する他の形式のマルウェアとは異なり、Vulturの作成者は、RATに「保護ガード」というやや誤解を招く名前を付けることにしました。後者は公式のGooglePlayストアに掲載されており、開始以来5000回以上ダウンロードされています。このような寄生虫は瞬く間に何百万ものAndroidデバイスに到達する可能性がありますが、Vulturは、少なくとも1つ(または複数)のデジタル通貨コイニングアプリケーションをインストールしたAndroidユーザーのみを対象とするカスタムアプローチを採用しています。
VNCを利用する最初のAndroidの脅威
モバイルデバイスをしっかりとつかむことができるAndroidを標的としたトロイの木馬はこれまでにありませんでした。マルウェアとしてのVulturの成功の鍵は、RATが自動化されたリモート画面の記録とキーロガーを実行できるようにするVirtual Network Computing(VNC)の使用です。したがって、Vulturは、オーバーレイ攻撃ベースの対応物よりも多くのダメージを与えるように見えますが、後者の方がはるかに一般的です。オーバーレイ攻撃では、 Banker.BR 、MysteryBot、Grandoreiroなどのトロイの木馬が偽のログインページを作成し、本物の銀行アプリケーションを開いてパスワードやユーザー名などを収集するたびにそれを読み込みます。VNC攻撃では、トロイの木馬Vulturなどは、画面上で見つけたものをすべてビデオ録画します。これを行うには、RATは、キーストローク、Webブラウジング、マルチメディアなどのログを保持するターゲットの許可を取得する必要があります。また、ローカルサーバーのプライベートコンテンツをキャッチし、アクティブなC&Cサーバーとのブリッジを設定します。
ブルンヒルダへの接続
Vultur RATは、悪名高いBrunhildaマルウェアに似ています。どちらも、単純なPC最適化ツールとしてマスクされた公式のGooglePlayストアに表示されるためです。ただし、これらのツールは、システムのバグを修正するのではなく、マルウェアを実行する傾向があります。 Vultur RATとBrunhildaはどちらも、ダークウェブからレンタルまたは購入するのではなく、ゼロから開発しました。