Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Saldırganlar Artık Dosyaları İndirebilir, Değiştirebilir ve Silebilir – Ayrıca Tıklayabilir, Kaydırabilir ve Kaydırabilir
Prajeet Nair (@prajeetspeaks) •
2 Nisan 2024
Tehdit aktörleri, bankacılık müşterilerini SMS metinleriyle kandırarak, virüslü cihazlarla etkileşime giren ve dosyaları değiştiren Vultur adlı yeni ve geliştirilmiş bankacılık kötü amaçlı yazılımlarını indirmelerini sağlıyor.
Ayrıca bakınız: Siber Dolandırıcılıkla Mücadele: Görünürlüğü Artırmak ve Tehdit Yanıtını Otomatikleştirmek için En İyi Uygulamalar
İlk olarak Mart 2021'de Threat Fabric tarafından belgelenen Vultur, AlphaVNC ve ngrok gibi meşru uygulamaları kötüye kullanması ve hedeflenen cihazlarda VNC sunucusuna uzaktan erişim sağlamasıyla dikkat çekti. Vultur ayrıca kimlik bilgilerinin toplanması için ekran kaydını ve keylogging'i otomatikleştirdi.
Bu Android bankacılık kötü amaçlı yazılımının en son sürümü, daha geniş bir yetenek yelpazesine sahiptir ve saldırganların virüs bulaşmış cihazların kontrolünü ele geçirmesine, uygulama yürütülmesini engellemesine, özelleştirilmiş bildirimler görüntülemesine, kilit ekranı korumalarını atlatmasına ve indirme, yükleme, yükleme, dosya ile ilgili çeşitli işlemleri gerçekleştirmesine olanak tanır. yükleme, arama ve silme.
NCC Grubu güvenlik araştırmacıları Perşembe günkü bir raporda, yeni işlevlerin öncelikle güvenliği ihlal edilmiş cihazlarla uzaktan etkileşime odaklandığını, ancak Vultur'un uzaktan erişim için hala AlphaVNC ve ngrok'a güvendiğini söyledi.
Vultur'un yaratıcıları aynı zamanda anti-analiz ve tespitten kaçınma stratejilerini de geliştirerek anında şifresi çözülen birden fazla şifrelenmiş veriye yayıldı. Kötü amaçlı yazılım artık işlemlerini gizlemek için McAfee Security ve Android Accessibility Suite gibi yasal uygulamaları kullanıyor.
Bulaşma süreci, yetkisiz büyük bir işlemi çözme bahanesiyle mağdurun belirli bir telefon numarasını aramasını isteyen sahte bir SMS mesajıyla başlar. Bu çağrı sırasında kurban, McAfee Security uygulamasının değiştirilmiş bir sürümüne bağlantı içeren ikinci bir SMS alır.
Değiştirilen uygulama, Vultur kötü amaçlı yazılımını her biri bir sonraki aşamayı etkinleştirmeyi amaçlayan üç veri yükü dizisi aracılığıyla dağıtmaktan sorumlu Brunhilda adlı bir damlalık çerçevesini barındırıyor.
Brunhilda başlangıçta komuta ve kontrol sunucusuna bağlanıyor ve daha sonra ilk yükü gönderiyor. Bu veri, Erişilebilirlik Hizmeti ayrıcalıklarını elde etmek ve sonraki aşamanın kurulumunu kolaylaştırmak için tasarlanmıştır. İkinci veri yükü, AlphaVNC ve ngrok kurulumunu içerir ve üçüncü veri yükü, temel arka kapı işlevselliğini barındırır.
Güvenliği ihlal edilen cihazla uzaktan etkileşimi kolaylaştırmak için kötü amaçlı yazılım, yedi ek komut ve kontrol yöntemi içerir. Bu yöntemler, saldırganların tıklama, kaydırma, kaydırma hareketleri ve daha fazlası gibi eylemleri gerçekleştirmesine olanak tanır.
Bu komutlar, virüslü cihaza Google'ın sunduğu bir mesajlaşma hizmeti olan Firebase Cloud Messaging aracılığıyla aktarılıyor. FCM yoluyla bir komut aldıktan sonra kötü amaçlı yazılım, operatörün yönlendirdiği şekilde ilgili işlevselliği yürütür.
Vultur'un en son sürümü, kullanıcının cihazda yüklü belirli uygulamalarla etkileşimini de engelleyebilir. Bu uygulamalar saldırgan tarafından sağlanan bir listede tanımlanır.