Terra Vesalainen/Shutterstock.com
残念ながら、ハッカーは常に安全な情報を盗んだりアクセスしたりするための巧妙な新しい方法を考え出しています。一部の
リモートアクセス型トロイの木馬(RAT)マルウェアであるVulturは、アムステルダムを拠点とするセキュリティ会社ThreatFabricからその名前が付けられました。実際の実装VNC画面共有を使用して、デバイスの画面とキーログを記録し、すべてを攻撃者のサーバーにミラーリングします。ユーザーは無意識のうちに信頼できるアプリであると信じているものに自分の資格情報を入力し、攻撃者は情報を収集し、別のデバイスでアプリにログインして、お金を引き出します。
この画面記録方法は、HTMLオーバーレイ戦略に依存していた以前のAndroidバンキング型トロイの木馬とは異なります。 Vultureはまた、デバイスのOSのユーザー補助サービスを悪用して、資格情報の収集を正常に実行するために必要なものにアクセスできるようにするために必要な権限を取得することに大きく依存しています。
ThreatFabricからの
「モバイルプラットフォームでの銀行の脅威は、よく知られているオーバーレイ攻撃に基づくだけでなく、RATのようなマルウェアに進化し、フォアグラウンドアプリケーションを検出して画面の記録を開始するなどの便利なトリックを継承しています」とThreatFabricの研究者は書いています。 「これにより、脅威が別のレベルに引き上げられます。このような機能は、デバイス上の不正行為への扉を開き、新しいデバイスからの不正行為を必要とするフィッシングMOに基づく検出を回避します。 Vulturを使用すると、被害者の感染したデバイスで詐欺が発生する可能性があります。詐欺を実行するアクションはマルウェアのバックエンドでスクリプト化され、シーケンスされたコマンドの形式で送信されるため、これらの攻撃はスケーラブルで自動化されています。」
ユーザーがVultureが対象としているアプリケーションの1つをダウンロードして開くと、トロイの木馬は画面記録セッションを開始します。悪意のあるアプリを見つけて削除しようとすると、ユーザーはそれができないことにすぐに気付きます。マルウェア内のボットが自動的に[戻る]ボタンをクリックして、ユーザーをメイン設定画面に戻します。
ユーザーが必要なのは、通知パネルに注意を払うことだけです。通知パネルには、「ProtectionGuard」というアプリが画面を投影していることが示されます。 Vulturの詳細については、
