โชคไม่ดีที่แฮกเกอร์มักจะคิดค้นวิธีใหม่ๆ ที่ชาญฉลาดในการขโมยหรือเข้าถึงข้อมูลที่ปลอดภัยอยู่เสมอ บางรายการเมื่อเร็วๆ นี้ ตรวจพบมัลแวร์ Android ซึ่งเรียกว่า Vultur กำลังใช้วิธีใหม่ในการเก็บเกี่ยวข้อมูลรับรองการเข้าสู่ระบบสำหรับแอปธนาคารและ crypto กว่า 100 รายการ
มัลแวร์โทรจัน (RAT) การเข้าถึงระยะไกล Vultur ได้รับชื่อจาก ThreatFabric บริษัทรักษาความปลอดภัยในอัมสเตอร์ดัม ใช้การแชร์หน้าจอ VNC ที่ใช้งานจริงเพื่อบันทึกหน้าจอของอุปกรณ์ บันทึกคีย์ และมิเรอร์ทุกอย่างกลับไปยังเซิร์ฟเวอร์ของผู้โจมตี ผู้ใช้ป้อนข้อมูลประจำตัวโดยไม่รู้ตัวในสิ่งที่พวกเขาเชื่อว่าเป็นแอปที่เชื่อถือได้ จากนั้นผู้โจมตีก็จะรวบรวมข้อมูล ลงชื่อเข้าใช้แอปในอุปกรณ์แยกต่างหาก และถอนเงิน
วิธีการบันทึกหน้าจอนี้ไม่เหมือนกับโทรจันธนาคาร Android รุ่นก่อนๆ ซึ่งอาศัยกลยุทธ์การซ้อนทับ HTML Vulture ยังอาศัยการใช้บริการการเข้าถึงข้อมูลบนระบบปฏิบัติการของอุปกรณ์ในทางที่ผิดเพื่อรับการอนุญาตที่จำเป็น ซึ่งจะทำให้สามารถเข้าถึงสิ่งที่จำเป็นเพื่อดำเนินการเก็บเกี่ยวข้อมูลรับรองได้สำเร็จ
ใน รายงาน จาก ThreatFabric เราได้เรียนรู้ว่าผู้คุกคามสามารถรวบรวมรายชื่อแอปที่ Vulture กำหนดเป้าหมาย ซึ่งแพร่กระจายผ่าน Google Play Store อิตาลี สเปน และออสเตรเลียเป็นภูมิภาคที่มีจำนวนสถาบันการธนาคารที่ได้รับผลกระทบจาก Vultur มากที่สุด กระเป๋าสตางค์ crypto หลายตัวก็ตกเป็นเป้าหมายเช่นกัน
“ภัยคุกคามของธนาคารบนแพลตฟอร์มมือถือไม่ได้ขึ้นอยู่กับการโจมตีแบบโอเวอร์เลย์ที่รู้จักกันดีอีกต่อไป แต่กำลังพัฒนาเป็นมัลแวร์ที่คล้ายกับ RAT ซึ่งสืบทอดเทคนิคที่มีประโยชน์ เช่น การตรวจจับแอปพลิเคชันเบื้องหน้าเพื่อเริ่มการบันทึกหน้าจอ” นักวิจัยของ ThreatFabric เขียน. “สิ่งนี้นำภัยคุกคามไปสู่อีกระดับหนึ่ง เนื่องจากคุณสมบัติดังกล่าวเปิดประตูสำหรับการฉ้อโกงบนอุปกรณ์ หลีกเลี่ยงการตรวจจับตาม MO ฟิชชิ่งที่ต้องใช้การฉ้อโกงจากอุปกรณ์ใหม่ ด้วย Vultur การฉ้อโกงสามารถเกิดขึ้นได้บนอุปกรณ์ที่ติดเชื้อของเหยื่อ การโจมตีเหล่านี้สามารถปรับขนาดได้และเป็นไปโดยอัตโนมัติ เนื่องจากการดำเนินการเพื่อทำการฉ้อโกงสามารถเขียนสคริปต์บนแบ็กเอนด์ของมัลแวร์และส่งไปในรูปแบบของคำสั่งตามลำดับได้”
หากผู้ใช้ดาวน์โหลดและเปิดแอพพลิเคชั่นตัวใดตัวหนึ่งที่ Vulture กำหนดเป้าหมาย โทรจันจะเริ่มเซสชันการบันทึกหน้าจอ ผู้ใช้ที่ติดตามและพยายามลบแอปที่เป็นอันตรายจะทราบได้อย่างรวดเร็วว่าพวกเขาทำไม่ได้ บอทภายในมัลแวร์จะคลิกปุ่มย้อนกลับโดยอัตโนมัติและส่งผู้ใช้กลับไปที่หน้าจอการตั้งค่าหลัก
ผู้ใช้เพียงคนเดียวที่ต้องให้ความสนใจกับแผงการแจ้งเตือน ซึ่งจะแสดงว่าแอปที่เรียกว่า “Protection Guard” กำลังฉายหน้าจอ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับ Vultur เราแนะนำให้อ่านผ่าน รายงานของ ThreatFabric . มิฉะนั้น อย่าลืมดาวน์โหลดแอปที่เชื่อถือได้เท่านั้น
ผ่านทาง อาส เทคนิคกา