按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

新發現 Android 惡意軟體 Vultur,會透過 VNC 遠端遙控協定竊取用戶密碼

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-07-30
  • 點閱次數:3259
新發現Android惡意軟體Vultur,會透過VNC遠端遙控協定竊取用戶密碼 TWCERT/CC

資安專家發現一個全新的 Android 惡意軟體,會透過可遠端進行遙控操作的 VNC 協定,記錄用戶在手機上的一切操作,同時竊取鍵盤輸入字元與密碼。

荷蘭資安廠商 ThreatFabric 旗下的資安專家,日前發現一個全新的 Android 惡意軟體 Vultur,會透過可遠端進行遙控操作的 VNC 協定,記錄用戶在手機上的一切操作,同時竊取鍵盤輸入字元與密碼。

Vultur 最早是於 2021 年 3 月時被 ThreatFabric 的資安專家觀察到其活動。ThreatFabric 在報告中說,Vultur 變種自其他 Android 惡意軟體;原先的惡意軟體會在用戶開啟其他正常軟體進行登入時,覆蓋一層假冒的登入頁面,藉以騙取用戶輸入的帳號與密碼。

Vultur 的作法則有所有不同。它會在受感染的 Android 手機上開啟一個 VNC 伺服器,並於背景執行;由於 VNC 原本的功能,就是將電腦設備的畫面傳到另一台電腦上,並使用另一台電腦進行遠端遙控,因此感染 Vultur 的手機,其操作畫面就會被傳送到駭侵者設立的控制伺服器錄製下來,Vultur 幕後的駭侵者即可取得各種 app 的登入帳號與密碼。

據 ThreatFabric 的分析,目前遭到 Vultur 感染的 Android 手機,多為先前遭到另一支惡意軟體 Brunhilda malware 感染的受害者;Brunhilda malware 過去曾出現在 Google Play Store 軟體商店中若干 app 之中,其功能之一就是「酬載」其它的惡意軟體程式碼。

用戶的 Android 裝置若是感染 Vultur,Vultur 會試圖欺騙用戶給予完整的手機控制權限;一旦成功,Vultur 即可取得完整的手機控制權。另外,當用戶想要移除内含 Vultur 惡意程式碼的 app 時,Vultur 會自動按下「回上頁」按鈕。

用戶如果在 Android 的通知面板中看到一個執行中的螢幕分享程式,名為「Protection Guard」的話,就是遭到 Vultur 的感染;另外,Vultur 也會在受害者的手機中,透過 VNC 遠端遙控功能,安裝更多惡意軟體。

回頁首