Neue Android-Malware nutzt VNC, um Passwörter von Opfern auszuspionieren und zu stehlen

  • Ein bisher nicht dokumentierter Android-basierter Fernzugriffstrojaner (RAT) wurde entdeckt, der Funktionen zur Bildschirmaufzeichnung nutzt, um vertrauliche Informationen auf dem Gerät zu stehlen, einschließlich Bankdaten, und die Tür für Betrug auf dem Gerät öffnet.

    Die mobile Malware, die den Namen “Vultur” trägt, weil sie die VNC-Technologie (Virtual Network Computing) zur Bildschirmfreigabe nutzt, um volle Sicht auf die Zielnutzer zu erlangen, wurde über den offiziellen Google Play Store verbreitet und als App namens “Protection Guard” getarnt, die über 5000 Installationen verzeichnete. Bank- und Krypto-Wallet-Apps von Unternehmen in Italien, Australien und Spanien waren die Hauptziele.

    “Zum ersten Mal sehen wir einen Android-Bankentrojaner, dessen Hauptstrategie das Aufzeichnen von Bildschirminhalten und das Aufzeichnen von Tastatureingaben ist, um auf automatisierte und skalierbare Weise Anmeldedaten abzugreifen”, so die Forscher von ThreatFabric in einem Bericht an The Hacker News.

    [Blocked Image: https://thehackernews.com/images/-UHcDw0TZuOc/YMt1nZpazaI/AAAAAAAA4Qs/d1jlOI8xheYWIFx_O8QJFzDxJI5tRuD7ACLcBGAsYHQ/s300-e100/free-ad-8-300.png]

    “Die Akteure haben sich dafür entschieden, von der üblichen HTML-Overlay-Entwicklung abzusehen, die wir normalerweise bei anderen Android-Bank-Trojanern sehen: Dieser Ansatz erfordert in der Regel einen größeren Zeit- und Arbeitsaufwand von den Akteuren, um mehrere Overlays zu erstellen, mit denen der Benutzer ausgetrickst werden kann. Stattdessen haben sie sich dafür entschieden, einfach aufzuzeichnen, was auf dem Bildschirm angezeigt wird, um effektiv das gleiche Endergebnis zu erzielen.

    Während Banking-Malware wie MysteryBot, Grandoreiro, Banker.BR und Vizom traditionell auf Overlay-Angriffe setzen – d. h. die Erstellung einer falschen Version der Anmeldeseite der Bank und deren Überlagerung über die legitime Anwendung – um die Opfer zur Preisgabe ihrer Passwörter und anderer wichtiger privater Informationen zu verleiten, mehren sich die Anzeichen, dass die Bedrohungsakteure von diesem Ansatz abrücken.

    [Blocked Image: https://thehackernews.com/images/-cAbkEXs9j-k/YQJpcO_ocjI/AAAAAAAADYA/jMYQ4V_9KZAQS5jLmYZ8NPFweGyZozbqwCLcBGAsYHQ/s728-e1000/android-malware-2.jpg]

    In einem Bericht, der Anfang dieser Woche veröffentlicht wurde, entdeckte das italienische Cybersicherheitsunternehmen Cleafy UBEL, eine aktualisierte Variante von Oscorp, bei der beobachtet wurde, dass sie WebRTC nutzt, um in Echtzeit mit dem kompromittierten Android-Telefon zu interagieren. Vultur wendet eine ähnliche Taktik an, indem es die Zugriffsberechtigungen ausnutzt, um Tastatureingaben zu erfassen und die Bildschirmaufzeichnungsfunktion von VNC zu nutzen, um heimlich alle Aktivitäten auf dem Telefon zu protokollieren, so dass es nicht notwendig ist, ein neues Gerät zu registrieren und es für Banken schwierig ist, Betrug zu erkennen.

    Darüber hinaus nutzt die Malware ngrok, ein plattformübergreifendes Dienstprogramm, das dazu dient, lokale Server hinter NATs und Firewalls über sichere Tunnel dem öffentlichen Internet auszusetzen, um Fernzugriff auf den lokal auf dem Telefon laufenden VNC-Server zu ermöglichen. Darüber hinaus stellt er Verbindungen zu einem Command-and-Control-Server (C2) her, um Befehle über Firebase Cloud Messaging (FCM) zu empfangen, deren Ergebnisse, einschließlich extrahierter Daten und Bildschirmabzüge, dann an den Server zurückgesendet werden.

    [Blocked Image: https://thehackernews.com/images/-azy2o-jUy8I/YLy9OO3scVI/AAAAAAAA4BY/75hsq3eOBOQsJbLGxKzF4tx3ZGV010RVwCLcBGAsYHQ/s728-e100/ransomware_728.jpg]

    Die Untersuchung von ThreatFabric brachte Vultur auch mit einer anderen bekannten Schadsoftware namens Brunhilda in Verbindung. Dabei handelt es sich um einen Dropper, der den Play Store nutzt, um verschiedene Arten von Malware in einem so genannten “Dropper-as-a-Service”-Vorgang (DaaS) zu verbreiten, wobei Überschneidungen im Quellcode und in der C2-Infrastruktur zur Erleichterung von Angriffen angeführt werden.

    Diese Verbindungen, so das in Amsterdam ansässige Unternehmen für Cybersicherheitsdienste, deuten darauf hin, dass Brunhilda ein privat operierender Bedrohungsakteur ist, der seinen eigenen Dropper und sein eigenes RAT Vultur hat.

    “Die Geschichte von Vultur zeigt einmal mehr, wie Akteure von der Verwendung gemieteter Trojaner (MaaS), die auf Untergrundmärkten verkauft werden, zu proprietärer/privater Malware wechseln, die auf die Bedürfnisse dieser Gruppe zugeschnitten ist”, so die Forscher. Diese Angriffe sind skalierbar und automatisiert, da die Aktionen zur Durchführung des Betrugs im Malware-Backend geskriptet und in Form von Befehlssequenzen gesendet werden können, was es dem/den Akteur(en) leicht macht, “Hit-and-Run” zu betreiben.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com