令人讨厌的Android特洛伊木马瞄准银行,社交媒体和加密货目应用程序窃取您的信息旧式的方式:它记录了手机屏幕上发生的一切。
由基于阿姆斯特丹的信息安全公司的研究人员被称为“Vultur”。ThreatFabric该公司的目标客户是澳大利亚、意大利、西班牙、荷兰和英国的银行应用;包括Facebook、whatsapp.和TikTok;以及Binance、Coinbase等公司的加密货币应用程序。
Vultur是由一个名为Brunhilda的“droper”安装在Android手机上的,它出现在许多健身、手机安全和认证应用程序中,其中一些应用程序已经在谷歌Play商店中找到了。被感染的应用程序如用户所愿工作,但在幕后,布伦希尔达接触恶意软件服务器并下载Vultur(或其他恶意软件)。
在从Google Play中删除之前,一个被称为保护罩的受感染的应用程序有超过5,000个安装。威胁特许估计,3万部手机可能被布鲁希尔感染。关于Vultur具体而言,威胁特定的报告称“我们估计潜在受害者的数量达到数千人。”
大多数Android Banking Trojans通过创建“叠加”来窃取用户登录凭据,这看起来像它们属于广泛使用的在线银行应用程序。但Vultur采用另一种方法:它使用远程访问技术,只需在使用某些应用程序时录制受感染的手机所有者的所有内容。它还使用键盘记录器来捕获屏幕上不可见的用户输入。
将录制传输到由犯罪分子运营的服务器运营的服务器,然后,他们可以播放登录并使用Facebook的不知名受害者的屏幕录制,访问他们的银行帐户或制作加密货币交易。结合键入数据,这使犯罪分子是贯穿日常业务的每个潜在受害者的步行。
Vultur通过滥用无障碍服务(Accessibility Services)实现了这一切,这是Android中的一项功能,旨在帮助视觉或听觉受损的用户,或无法看到屏幕的用户。例如,无障碍服务可以让一个应用读取另一个应用屏幕上的内容。
但是因为它为应用程序提供了不寻常的访问,远远超出了Android的正常允许的,可访问性服务通常被信息窃取恶意软件滥用。Vultur甚至使用该功能劫持屏幕,如果用户尝试删除受感染的应用程序 - 它立即按下后按钮。
用户可以通过拒绝受感染的应用程序使用辅助服务来阻止Vultur(以及其他许多银行木马程序)的运行。因为Vultur通常是以不需要无障碍服务的应用形式出现的,所以这并不总是很难发现。
您还可以检测秃鹰,威胁特定说,因为它将数据传输到其命令和控制服务器时,Android通知将显示活动的“铸造”图标。如果你没有施放一些东西,并且无论如何都会出现这个图标,就是担心的原因。
另一种方法是安装和使用其中一个最好的Android Antivirus.应用程序。布伦希尔达病毒是一个已知的威胁,大多数杀毒软件会立即检测到它;秃鹫应该很快被添加到名单上,如果它还没有。
