تم العثور على Trojan (RAT) للوصول عن بُعد للاجهزه التي تعمل بنظام Android لاستخدام ميزات تسجيل الشاشة لسرقة المعلومات الحساسة على الجهاز، بما في ذلك بيانات الاعتماد المصرفية، وفتح الباب للاحتيال على الجهاز.
أطلق عليها اسم "Vultur" نظرًا لاستخدامها لتقنية مشاركة الشاشة عن بُعد الخاصة بحوسبة الشبكة الافتراضية (VNC) للحصول على رؤية كاملة للمستخدمين المستهدفين، تم نشر البرمجية الخبيثة للجوال عبر متجر Google Play الرسمي وتنكرت في شكل تطبيق باسم "Protection Guard" ، وللأسف حصل التطبيق على أكثر من 5000 تنزيل. كانت التطبيقات المصرفية والمحفظة المشفرة من المؤسسات والشركات الموجودة في إيطاليا وأستراليا وإسبانيا هي الأهداف الأساسية.
قال باحثون من ThreatFabric في رسالة مكتوبة تمت مشاركتها مع The Hacker News: "لأول مرة نرى حصان طروادة مصرفي يعمل بنظام Android يحتوي على تسجيل الشاشة وتسجيل لوحة المفاتيح كاستراتيجية رئيسية لجمع بيانات اعتماد تسجيل الدخول بطريقة آلية وقابلة للتطوير".
"اختار المخترقين الابتعاد عن تطوير صفحات HTML الشائعه التي نراها عادةً في أحصنة طروادة المصرفية الأخرى التي تعمل بنظام Android: يتطلب هذا الأسلوب عادةً استثمار وقت وجهد أكبر من الجهات المخترقه لإنشاء صفحات HTML متعددة قادرة على خداع المستخدم تتوافق مع كل الاجهزة. وبدلاً من ذلك، اختاروا ما عليك سوى تسجيل ما يظهر على الشاشة والحصول على النتيجة النهائية نفسها بشكل فعال ".
بينما اعتمدت البرامج الضارة المصرفية مثل MysteryBot و Grandoreiro و Banker.BR و Vizom تقليديًا على هجمات التراكب - أي إنشاء نسخة مزوؤه من صفحة تسجيل الدخول الخاصة بالبنك وتركيبها فوق التطبيق الشرعي - لخداع الضحايا للكشف عن كلمات المرور الخاصة بهم وغيرها من المعلومات الخاصة المهمة، تتزايد الأدلة على أن الجهات الفاعلة في التهديد تنحرف بعيدًا عن هذا النهج.
في تقرير نُشر في وقت سابق من هذا الأسبوع ، كشفت شركة الأمن السيبراني الإيطالية Cleafy النقاب عن UBEL ، وهو متغير محدث من Oscorp ، لوحظ باستخدام WebRTC للتفاعل مع هاتف Android المخترق في الوقت الفعلي. يتبنى Vultur تكتيكًا مشابهًا من حيث أنه يستفيد من أذونات إمكانية الوصول لالتقاط ضغطات المفاتيح والاستفادة من ميزة تسجيل شاشة VNC لتسجيل جميع الأنشطة على الهاتف خلسة ، وبالتالي تجنب الحاجة إلى تسجيل جهاز جديد ويجعل من الصعب على البنوك اكتشاف الاحتيال.
علاوة على ذلك ، يستخدم البرنامج الضار ngrok ، وهو أداة مساعدة عبر الأنظمة الأساسية تُستخدم لفضح الخوادم المحلية خلف NATs والجدران النارية إلى الإنترنت العام عبر الأنفاق الآمنة ، لتوفير الوصول عن بُعد إلى خادم VNC الذي يعمل محليًا على الهاتف. بالإضافة إلى ذلك ، فإنه ينشئ أيضًا اتصالات مع خادم الأوامر والتحكم (C2) لتلقي الأوامر عبر Firebase Cloud Messaging (FCM) ، والتي يتم بعد ذلك إرسال نتائجها ، بما في ذلك البيانات المستخرجة ولقطات الشاشة ، إلى الخادم.
المصدر :The Hacker News
ليست هناك تعليقات:
إرسال تعليق