125/67 (IT) ประจำวันอังคารที่ 2 เมษายน 2567
โทรจันธนาคาร Android ที่ชื่อ Vultur ได้กลับมาอีกครั้งพร้อมกับชุดฟีเจอร์ใหม่ ๆ และเทคนิคการป้องกันการวิเคราะห์และการตรวจจับที่ได้รับการปรับปรุง ทำให้ผู้ใช้งาน Vultur สามารถโต้ตอบกับอุปกรณ์มือถือจากระยะไกลและขโมยข้อมูลที่ละเอียดอ่อนได้ Vultur ได้รับการเปิดเผยครั้งแรกในต้นปี 2564 โดยเป็นมัลแวร์ที่สามารถใช้ประโยชน์จาก API บริการการเข้าถึงของ Android เพื่อดำเนินการที่เป็นอันตรายได้ และพบว่า Vultur แพร่กระจายผ่านแอปบน Google Play Store โดยปลอมตัวเป็นแอปตรวจสอบสิทธิ์และแอปเพิ่มประสิทธิภาพการทำงาน เพื่อหลอกให้ผู้ใช้งานที่ไม่รู้ตัว ติดตั้งแอปเหล่านั้น โดยห่วงโซ่การโจมตีอื่นๆ ตามที่นักวิจัยสังเกต จะเกี่ยวข้องกับการแพร่กระจายโดยใช้ข้อความ SMS และการใช้โทรศัพท์ร่วมกัน ซึ่งเป็นเทคนิคที่เรียกว่าการส่งการโจมตีทางโทรศัพท์ (Telephone-oriented attack delivery : TOAD ) เพื่อให้แพร่กระจายมัลแวร์เวอร์ชันที่อัปเดตแล้ว
ข้อความ SMS เริ่มต้นมีจุดมุ่งหมายเพื่อกระตุ้นให้เกิดความรู้สึกเร่งด่วน โดยสั่งให้ผู้รับ SMS โทรไปยังหมายเลขเพื่ออนุญาตการทำธุรกรรมที่ไม่มีอยู่จริงซึ่งเกี่ยวข้องกับเงินจำนวนมาก เมื่อทำการติดตั้ง Dropper ที่เป็นอันตรายจะดำเนินการเพย์โหลดที่เกี่ยวข้องสามรายการ (APK 2 ไฟล์ และไฟล์ DEX 1 ไฟล์) ที่ลงทะเบียนบอทกับเซิร์ฟเวอร์ C2 รับสิทธิ์บริการการเข้าถึงสำหรับการเข้าถึงระยะไกลผ่าน AlphaVNC และ ngrok และเรียกใช้คำสั่งที่ดึงมาจากเซิร์ฟเวอร์ C2 หนึ่งในคุณสมบัติเพิ่มเติมที่โดดเด่นของ Vultur คือความสามารถในการโต้ตอบจากระยะไกลกับอุปกรณ์ที่ติดมัลแวร์ รวมถึงการคลิก เลื่อน และปัดผ่านบริการการเข้าถึงของ Android เช่นเดียวกับการดาวน์โหลด อัปโหลด ลบ ติดตั้ง และค้นหาไฟล์ นอกจากนี้ มัลแวร์ยังถูกติดตั้งเพื่อป้องกันไม่ให้เหยื่อโต้ตอบกับรายการแอปพลิเคชันที่กำหนดไว้ล่วงหน้า แสดงการแจ้งเตือนที่กำหนดเองในแถบสถานะ และแม้กระทั่งปิดการใช้งาน Keyguard เพื่อข้ามมาตรการรักษาความปลอดภัยหน้าจอล็อค ซึ่งคาดว่าจะมีการเจาะระบบอุปกรณ์ 45,000 เครื่อง โดยส่วนใหญ่อยู่ในแถบประเทศโปรตุเกส สเปน ตุรกี และสหรัฐอเมริกา เหยื่ออื่นๆ บางส่วนอยู่ในฝรั่งเศส เนเธอร์แลนด์ แคนาดา อินเดีย และญี่ปุ่น การค้นพบนี้ยังเป็นไปตามการเกิดขึ้นของแคมเปญใหม่ที่มุ่งเป้าไปที่ผู้ใช้ Android ในอินเดีย ซึ่งกระจายแพ็คเกจ APK ที่เป็นอันตรายซึ่งวางตัวเป็นบริการการจอง การเรียกเก็บเงิน และบริการจัดส่งออนไลน์ ผ่านข้อเสนอมัลแวร์ในรูปแบบการบริการ (MaaS)
แหล่งข่าว https://thehackernews.com/2024/04/vultur-android-banking-trojan-returns.html
