Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Android-вредонос Vultur использует удаленный доступ VNC для кражи паролей (http://txgate.io:443/showthread.php?t=14309)

Artifact 02-03-2025 06:00 AM

Vultur используют функции записи экрана для кражи конфиденциальной информации с Android-устройств.
https://www.securitylab.ru/upload/ib...446ee287b3.jpg
Операторы нового трояна для удаленного доступа (RAT), получившего название Vultur, используют функции записи экрана для кражи конфиденциальной информации с Android-устройств, включая банковские учетные данные.
Вредонос использует технологию удаленного доступа к экрану Virtual Network Computing (VNC) для обеспечения слежки за пользователями. Вредоносное ПО распространялось через официальный магазин Google Play Store и маскировалось под приложение Protection Guard с более чем 5 тыс. установок.
«Впервые мы видим банковский троян для Android-устройств, который использует запись экрана и кейлоггеры в качестве основной стратегии для автоматического и масштабируемого сбора учетных данных для входа в систему. Злоумышленники предпочли отказаться от общей разработки HTML-оверлеев, которые мы обычно наблюдаем в других банковских троянах для Android. Данный подход обычно требует от хакеров больших затрат времени и усилий для создания нескольких оверлеев, способных обмануть пользователя. Вместо этого они решили просто записывать то, что отображается на экране и получать тот же конечный результат», — отметили исследователи из компании ThreatFabric.
По словам специалистов, в последнее время операторы банковских троянов все чаще отказываются от тактики с использованием оверлейных атак. Например, операторы UBEL, представляющего собой обновленный вариант вредоноса Oscorp, использовали протокол WebRTC для взаимодействия со скомпрометированным телефоном под управлением Android в режиме реального времени. Vultur применяет аналогичную тактику — он использует преимущества разрешений доступа для захвата нажатий клавиш и использует функцию записи экрана VNC для незаметной слежки за всеми действиями пользователя.
Более того, вредоносная программа использует кроссплатформенную утилиту ngrok для подключения локальных серверов, защищенных Network Address Translation (NAT), и межсетевых экранов к интернету через защищенные туннели с целью обеспечения удаленного доступа к серверу VNC, работающему локально на телефоне. Кроме того, вредонос устанавливает соединения с C&C-сервером для получения команд через Firebase Cloud Messaging (FCM) и передачи украденных данных обратно на сервер.


All times are GMT. The time now is 09:39 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.