VulturAndroidマルウェア

新しいAndroidバンキング型トロイの木馬が研究者によって発見されました。彼らはそれをVulturと名付け、このタイプのマルウェアの脅威で初めて使用されたように見えるその特性のいくつかに関する情報を開示しました。ただし、脅威の最終目標は、銀行のクレデンシャルやその他の機密性の高いユーザー情報を取得し、そのデータをサイバー犯罪者のサーバーに盗み出すことです。これまでのところ、Vulturは、イタリア、オーストラリア、スペインを主な焦点として、いくつかの国の銀行および暗号関連エンティティのアプリケーションを対象としています。

初期攻撃ベクトルと機能

Vulturは、GooglePlayストアからダウンロードできる「ProtectionGuard」という名前の偽のセキュリティアプリケーションになりすました。削除される前に、脅迫的なアプリは約5,000のダウンロードを蓄積することができました。ユーザーのデバイスに入ると、Vulturはその真の有害な可能性を明らかにします。

他のほとんどのバンキング型トロイの木馬で見られる典型的なオーバーレイ攻撃方法の代わりに、Vulturは新しい手法を採用しています。 Virtual Network Computing（VNC）のリモート画面共有機能を使用して、侵入先のデバイスで実行されたすべてのアクティビティの追跡を不正に開始します。デバイス上でローカルに実行されているVNCサーバーへのリモートアクセスを容易にするために、脅威は「ngrok」と呼ばれるクロスプラットフォームユーティリティを展開します。最後に、キーロガールーチンを開始するために、Vulturはデバイス上のアクセシビリティサービスを悪用します。これは、バンキング型トロイの木馬に関連する一般的な動作です。

別のマルウェアとの関係

研究者はまた、Vulturと以前に検出されたBrunhildaという名前のドロッパー脅威との間にいくつかの関連性を発見しました。ドロッパーは、いくつかの文書化された安全でない操作の一部であり、MaaS（Malware-as-a-Service）スキームで提供されると考えられています。さまざまな種類のマルウェアを被害者のデバイスに配信でき、通常はPlayストアの武器化されたアプリケーションを介して配布されます。 2つの脅威の重複は、攻撃のソースコードとコマンドアンドコントロール（C2、C＆C）インフラストラクチャ内で見つかりました。