Android-Benutzer, die von der Vultur-Datenerfassungs-RAT geplagt werden

Android Geier Ratte-Malware Sicherheitsforscher haben gerade einen neuen Remote Access Trojan (RAT) entdeckt, der Daten von Android-basierten Geräten auf der ganzen Welt sammelt. Die als Vultur bezeichnete RAT ist in der Lage, Anmeldeinformationen und Bankdaten zu sammeln und Remote Code Execution (RCE) auf jedem infizierten Gerät auszulösen.

Ein verkleideter Teufel

Im Gegensatz zu anderen Formen von Malware, die normalerweise auf Spam und gesponserte Links angewiesen sind, um sich zu verbreiten, haben die Entwickler von Vultur beschlossen, der RAT einen etwas irreführenden Namen zu geben – „Protection Guard". Letzteres ist im offiziellen Google Play Store verfügbar und wurde seit seiner Einführung mehr als fünftausend Mal heruntergeladen. Während ein solcher Parasit im Handumdrehen Millionen von Android-Geräten erreichen könnte, hat Vultur einen benutzerdefinierten Ansatz verfolgt, der nur Android-Benutzer anspricht, die mindestens eine (oder mehrere) digitale Währungsprägeanwendung installiert haben.

Die erste Android-Bedrohung zur Nutzung von VNC

Noch nie zuvor gab es einen auf Android ausgerichteten Trojaner, der ein mobiles Gerät eisern in den Griff bekommen konnte. Der Schlüssel zum Erfolg von Vultur als Malware ist der Einsatz von Virtual Network Computing (VNC), das es der RAT ermöglicht, eine automatisierte Remote-Bildschirmaufzeichnung und Keylogging durchzuführen. Daher scheint Vultur mehr Schaden zu verursachen als seine auf Overlay-Angriffen basierenden Gegenstücke, obwohl letzteres viel häufiger vorkommt. Bei einem Overlay-Angriff erstellt ein Trojaner wie Banker.BR, MysteryBot oder Grandoreiro eine gefälschte Anmeldeseite und lädt sie jedes Mal, wenn Sie Ihre echte Bankanwendung öffnen, um Passwörter, Benutzernamen usw. zu sammeln. Bei einem VNC-Angriff wird ein Trojaner wie Vultur eine Videoaufnahme von allem machen, was es auf dem Bildschirm sieht. Dazu benötigt die RAT die Erlaubnis des Ziels, ein Protokoll über Tastatureingaben, Web-Browsing, Multimedia usw. zu führen. Außerdem fängt sie die privaten Inhalte der lokalen Server ab und baut eine Brücke mit einem aktiven C&C-Server auf.

Verbindungen nach Brunhilda

Die Vultur RAT ähnelt der berüchtigten Brunhilda-Malware, da beide im offiziellen GooglePlay Store als einfache PC-Optimierungstools maskiert erscheinen. Diese Tools neigen jedoch oft dazu, Malware auszuführen, anstatt die Fehler auf Ihrem System zu beheben. Sowohl die Vultur RAT als auch Brunhilda wurden von Grund auf neu entwickelt und nicht im Dark Web gemietet oder gekauft.