VNCを利用してスマートフォンの操作を記録し、パスワードを窃取するAndroid用マルウェアが登場

セキュリティ研究者は、VNC技術を利用して被害者のスマートフォンの動作を記録・放送し、攻撃者がキーボードの操作やアプリのパスワードを収集できるようにする新しいAndroidマルウェアを発見しました。

https://www.threatfabric.com/blogs/vultur-v-for-vnc.html

オランダのセキュリティ企業であるThreatFabric社が2021年3月に初めて発見したVulturと名付けられたこの新しいマルウェアは、感染したスマホ上でVNCサーバーを起動させ、画面キャプチャーを攻撃者のコマンド&コントロール・サーバーに配信して、Vulturのオペレーターが目的のアプリのパスワードを搾取します。

以下は、ThreatFabricのレポートに記載されているVulturの特徴の概要です。

  • Vulturはバンキング・トロイの木馬として認識されている。Androidのバンキング・トロイの木馬にはリモート・アクセス・トロイの木馬(RAT)によく見られる機能が搭載されており、攻撃者がデバイスを完全に制御できるようにする
  • Vulturは現在、「Brunhilda」というマルウェア(PDF)に感染した端末にインストールされている。「Brunhilda」は、Google Playストアに侵入し、他のマルウェアの「ドロッパー」として機能することが知られている
  • Vulturは、ユーザーが「アクセシビリティ」のアクセス権を与えた場合にのみ、デバイスを完全に制御することに成功する
  • Vulturは、ユーザーがアンインストールする画面に移動すると、自動的に「戻る」ボタンを押す
  • Vulturが被害者の画面を配信するたびに、Androidの通知パネルに「Protection Guard」のインジケーターが点灯するため、ユーザーはVulturの動作を確認することができる
  • Vulturは、VNC経由でキー操作を収集する以外にも、被害者が貴重なターゲットであるかどうかを判断するために、インストールされているアプリのリストをマルウェアのオペレータに送信することができる
  • ThreatFabric社は、Vulturがこれまでに5,000人から8,000人のユーザーを感染させたと推定している
  • イタリア、オーストラリア、スペイン、オランダ、英国の銀行のモバイルバンキングアプリを標的としている
  • また、暗号通貨のモバイルウォレットやソーシャルメディアのアプリも標的とし、認証情報を盗む
  • ThreatFabric社によると、コードレベルでの調査により、Brunhildaの開発者との類似性や関連性が発見された。

Leave a Reply

Your email address will not be published.