Threat Fabric đã phát hiện ra một Trojan Truy cập Từ xa (RAT) dựa trên Android mới có khả năng ghi lại màn hình điện thoại thông minh và đánh cắp thông tin cá nhân, bao gồm cả dữ liệu tài chính, nhằm tạo cơ sở cho việc gian lận thiết bị.
Vultur là Trojan ngân hàng Android đầu tiên có khả năng sử dụng keylog và ghi màn hình để tự động hóa và mở rộng quy mô thu thập thông tin đăng nhập. So với các Trojan ngân hàng Android khác, các tác nhân đe dọa đã bỏ qua chiến thuật lớp phủ HTML phổ biến hơn và thay vào đó chỉ ghi lại màn hình.
Cho đến gần đây, phần mềm độc hại tài chính chủ yếu dựa vào các cuộc tấn công lớp phủ. Ví dụ: Banker.BR, Vizom và Grandoreiro hoạt động bằng cách đầu tiên tạo một phiên bản giả mạo của màn hình đăng nhập của ngân hàng và sau đó phủ nó lên trên ứng dụng gốc, lừa nạn nhân nhập thông tin đăng nhập của họ và các thông tin nhạy cảm khác.
Vultur tận dụng quyền truy cập để nắm bắt các lần gõ phím và sử dụng chức năng ghi màn hình VNC để ghi lại mọi hoạt động trên điện thoại, do đó tránh được yêu cầu đăng ký thiết bị mới, khiến các ngân hàng khó xác định được kẻ gian.
Brunhilda có thể là băng nhóm tội phạm mạng chịu trách nhiệm phát tán phần mềm độc hại Vultur
ThreatFnai có thể tạo mối tương quan giữa chiến dịch Vultur với Brunhilda bằng cách sử dụng cổng thông tin MTI (Mobile Threat Intelligence) và phát hiện thời gian thực từ giải pháp CSD (Client-Side Detection). Tổng số nạn nhân của nhóm tội phạm mạng Brunhilda ước tính khoảng 30.000 người. Mẫu do các nhà nghiên cứu an ninh mạng phân tích đã bị rút khỏi Cửa hàng Google Play trong thời gian chờ đợi.
Các tác nhân đe dọa đang chuyển dần khỏi các Trojan cho thuê (MaaS) được phân phối trên các thị trường ngầm và hướng tới phần mềm độc hại độc quyền / riêng tư phù hợp với nhu cầu của họ. Điều này có nghĩa là các mối đe dọa từ ngân hàng di động đang chuyển thành phần mềm độc hại kiểu RAT, có được các thủ thuật có giá trị như xác định các ứng dụng nền để bắt đầu ghi màn hình.
Các tính năng của phần mềm độc hại mới cho phép gian lận trên thiết bị, tránh bị phát hiện và thực hiện các hành vi gian lận mạng bằng cách sử dụng thiết bị bị nhiễm của nạn nhân. Các hoạt động để thực hiện hành vi gian lận có thể được viết trên phần mềm phụ trợ phần mềm độc hại và được cung cấp dưới dạng các lệnh theo trình tự. Hãy nhớ rằng ThreatFnai cũng đã báo cáo rằng C2 của “Dự án Brunhilda” hiện hỗ trợ các lệnh bot dành riêng cho Vultur.
Nguồn: https://news.softpedia.com/
