يستخدم مشغلو حصان طروادة جديد للوصول عن بُعد (RAT) يطلق عليه اسم Vultur ميزات تسجيل الشاشة لسرقة المعلومات الحساسة من أجهزة Android ، بما في ذلك بيانات الاعتماد المصرفية.
تستخدم البرامج الضارة تقنية الوصول إلى الشاشة عن بُعد لحوسبة الشبكة الافتراضية (VNC) لمراقبة المستخدمين. تم توزيع البرامج الضارة من خلال متجر Google Play الرسمي وتنكرت على أنها تطبيق Protection Guard بأكثر من 5000 عملية تثبيت.
"هذه هي المرة الأولى التي نرى فيها حصان طروادة مصرفي لأجهزة Android يستخدم تسجيل الشاشة و keyloggers كاستراتيجية أساسية لجمع بيانات اعتماد تسجيل الدخول تلقائيًا وبطريقة قابلة للتطوير. اختار المهاجمون التخلي عن التطوير العام لتراكبات HTML التي نراها عادةً في أحصنة طروادة المصرفية الأخرى لنظام Android. عادة ما يستغرق هذا النهج الكثير من الوقت والجهد للقراصنة لإنشاء طبقات متعددة يمكن أن تخدع المستخدم. بدلاً من ذلك ، قرروا فقط تسجيل ما يتم عرضه على الشاشة والحصول على نفس النتيجة النهائية ، " قال باحثون في ThreatFabric.
وفقًا للخبراء ، في الآونة الأخيرة ، يتخلى مشغلو أحصنة طروادة المصرفية بشكل متزايد عن التكتيكات باستخدام هجمات التراكب. على سبيل المثال ، استخدم مشغلو UBEL ، وهو إصدار محدث من برنامج Oscorp الضار ، بروتوكول WebRTC للتفاعل مع هاتف Android تم اختراقه في الوقت الفعلي. يستخدم Vultur تكتيكًا مشابهًا - فهو يستفيد من أذونات الوصول لالتقاط ضغطات المفاتيح ويستخدم ميزة تسجيل شاشة VNC لمراقبة جميع أنشطة المستخدم بتكتم.
علاوة على ذلك ، تستخدم البرامج الضارة الأداة المساعدة ngrok عبر الأنظمة الأساسية لتوصيل الخوادم المحلية المحمية بواسطة ترجمة عنوان الشبكة (NAT) والجدران النارية بالإنترنت عبر الأنفاق الآمنة من أجل توفير الوصول عن بُعد إلى خادم VNC يعمل محليًا على الهاتف. بالإضافة إلى ذلك ، تنشئ البرامج الضارة اتصالات بخادم القيادة والتحكم لتلقي الأوامر عبر Firebase Cloud Messaging (FCM) ونقل البيانات المسروقة مرة أخرى إلى الخادم.
0 تعليقات