Vultur Android-Malware

Die Forscher haben einen neuen Android-Banking-Trojaner entdeckt. Sie nannten es Vultur und gaben Informationen über einige seiner Eigenschaften bekannt, die anscheinend zum ersten Mal bei einer solchen Malware-Bedrohung verwendet werden. Das Endziel der Bedrohung besteht jedoch immer noch darin, die Bankdaten und andere sensible Benutzerinformationen zu erhalten und die Daten auf den Server der Cyberkriminellen zu übertragen. Bisher zielt Vultur auf die Anwendungen von Banken und kryptobezogenen Unternehmen aus mehreren Ländern ab, wobei der Schwerpunkt auf Italien, Australien und Spanien liegt.

Anfänglicher Angriffsvektor und -fähigkeiten

Vultur hat sich als gefälschte Sicherheitsanwendung namens „Protection Guard“ getarnt, die im Google Play Store zum Download bereitsteht. Die bedrohliche App hatte es vor ihrer Deaktivierung geschafft, rund 5.000 Downloads anzuhäufen. Einmal im Gerät des Benutzers, enthüllt Vultur sein wahres schädliches Potenzial.

Anstelle der bei den meisten anderen Banking-Trojanern üblichen Overlay-Angriffsmethode verwendet Vultur eine neue Technik. Es verwendet die Remote-Screen-Sharing-Funktionen von Virtual Network Computing (VNC), um illegal alle Aktivitäten zu verfolgen, die auf dem kompromittierten Gerät ausgeführt werden. Um den Fernzugriff auf den lokal auf dem Gerät ausgeführten VNC-Server zu erleichtern, setzt die Bedrohung ein plattformübergreifendes Dienstprogramm namens „ngrok“ ein. Um seine Keylogging-Routinen zu starten, nutzt Vultur schließlich die Accessibility Services auf dem Gerät aus, ein übliches Verhalten, das mit Banking-Trojanern in Verbindung gebracht wird.

Beziehung zu einer anderen Malware

Forscher entdeckten auch einige Verbindungen zwischen Vultur und einer zuvor entdeckten Dropper-Bedrohung namens Brunhilda. Der Dropper war Teil mehrerer dokumentierter unsicherer Operationen und wird vermutlich im Rahmen eines MaaS-Schemas (Malware-as-a-Service) angeboten. Es kann verschiedene Malware-Typen auf die Geräte des Opfers übertragen und wird normalerweise über Waffenanwendungen im Play Store verbreitet. Die Überschneidungen zwischen den beiden Bedrohungen wurden innerhalb des Quellcodes und der Command-and-Control-Infrastruktur (C2, C&C) der Angriffe gefunden.