Оператори нового трояна для віддаленого доступу (RAT), що отримав назву Vultur, використовують функції запису екрану для крадіжки конфіденційної інформації з Android-пристроїв, включаючи банківські облікові дані.
Шкідник використовує технологію віддаленого доступу до екрану Virtual Network Computing (VNC) для забезпечення стеження за користувачами. Шкідливе ПЗ поширювалося через офіційний магазин Google Play Store і маскувалося під додаток Protection Guard з більш ніж 5 тисяч установок.
“Вперше ми бачимо банківський троян для Android-пристроїв, який використовує запис екрану і кейлогери в якості основної стратегії для автоматичного і масштабованого збору облікових даних для входу в систему. Зловмисники вважали за краще відмовитися від спільної розробки HTML-оверлеїв, які ми зазвичай спостерігаємо в інших банківських троянах для Android. Цей підхід зазвичай вимагає від хакерів великих витрат часу і зусиль для створення декількох оверлеїв, здатних обдурити користувача. Замість цього вони вирішили просто записувати те, що відображається на екрані і отримувати той же кінцевий результат”, – відзначили дослідники з компанії ThreatFabric.
За словами фахівців, останнім часом оператори банківських троянів все частіше відмовляються від тактики з використанням оверлейних атак. Наприклад, оператори UBEL, що представляє собою оновлений варіант шкідника Oscorp, використовували протокол WebRTC для взаємодії зі скомпрометованим телефоном під управлінням Android в режимі реального часу. Vultur застосовує аналогічну тактику – він використовує переваги дозволів доступу для захоплення натискань клавіш і використовує функцію запису екрану VNC для непомітною стеження за всіма діями користувача.
Більш того, шкідлива програма використовує утиліту ngrok для підключення локальних серверів, захищених Network Address Translation (NAT), і міжмережевих екранів до інтернету через захищені тунелі з метою забезпечення віддаленого доступу до сервера VNC, що працює локально на телефоні. Крім того, шкідник встановлює з’єднання з C&C-сервером для отримання команд через Firebase Cloud Messaging (FCM) і передачі вкрадених даних назад на сервер.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
В Україні користувачів Android та iOS атакує небезпечне шкідливе ПЗ
Як перевірити шкідливий чи безпечний сайт? – ПОРАДИ
Як змусити AirPods повідомляти про дзвінки та сповіщення на iPhone? – ІНСТРУКЦІЯ
Як перевірити, які програми на iPhone Ви використовуєте найчастіше? – ІНСТРУКЦІЯ
До речі, користувачі ніколи не зможуть встановити Windows 11 на несумісні пристрої. Групова політика не дозволить Вам обійти обмеження апаратного забезпечення для установки Windows 11.
Apple має намір додати підтримку системи розпізнавання осіб Face ID на комп’ютери Mac протягом наступних двох років. Про це повідомив оглядач Bloomberg.
Зловмисники все частіше використовують безкоштовний месенджер Discord як канал для поширення шкідливих програм.
Окрім цього, стало відомо про великий витік даних учасників Clubhouse. Провідний експерт з кібербезпеки Джіт Джайн повідомив, що повна база телефонних номерів Clubhouse виставлена на продаж в Darknet.
Також стало відомо, що операційна система Windows 11, яка ще офіційно не вийшла, але вже доступна для скачування і попереднього знайомства, використовується зловмисниками, які намагаються підсунути користувачеві шкідливе ПЗ під виглядом нової ОС.
