Niedawno wykryte szkodliwe oprogramowanie bankowe wykorzystuje nowy sposób rejestrowania danych logowania na urządzeniach z systemem Android.
ThreatFabric, firma zajmująca się bezpieczeństwem z siedzibą w Amsterdamie, po raz pierwszy odkryła w marcu nowe złośliwe oprogramowanie, które nazywa Vultur. Według ArsTechnica, Vultur rezygnuje ze standardowego sposobu przechwytywania danych uwierzytelniających i zamiast tego wykorzystuje wirtualną sieć komputerową (VNC) z możliwością zdalnego dostępu do nagrywania ekranu, gdy użytkownik wprowadza swoje dane logowania do określonych aplikacji.
Chociaż złośliwe oprogramowanie zostało wykryte w marcu, badacze z ThreatFabric uważają, że powiązali je z dropperem Brunhildy, dropperem złośliwego oprogramowania używanym wcześniej w kilku aplikacjach Google Play do dystrybucji innego szkodliwego oprogramowania bankowego.
ThreatFabric mówi również, że sposób, w jaki Vultur podchodzi do zbierania danych, różni się od wcześniejszych trojanów dla Androida. Nie nakłada okna na aplikację, aby zebrać dane, które wprowadzasz do aplikacji. Zamiast tego używa VNC do nagrywania ekranu i przekazywania tych danych z powrotem do złych aktorów, którzy go uruchamiają.
Według ThreatFabric Vultur działa w dużym stopniu polegając na usługach ułatwień dostępu znajdujących się na urządzeniu z systemem Android. Po uruchomieniu złośliwe oprogramowanie ukrywa ikonę aplikacji, a następnie „nadużywa usługi, aby uzyskać wszystkie niezbędne uprawnienia do prawidłowego działania”. ThreatFabric twierdzi, że jest to metoda podobna do tej stosowanej w poprzednim złośliwym oprogramowaniu o nazwie Alien, które, jak sądzi, może być powiązane z Vultur.
Największym zagrożeniem, jakie stwarza Vultur, jest rejestrowanie ekranu urządzenia z Androidem, na którym jest zainstalowany. Korzystając z usług ułatwień dostępu, śledzi, jaka aplikacja działa na pierwszym planie. Jeśli ta aplikacja znajduje się na liście celów Vultura, trojan rozpocznie nagrywanie i przechwyci wszystko, co zostało wpisane lub wprowadzone.
Dodatkowo badacze ThreatFabric twierdzą, że Sęp ingeruje w tradycyjne metody instalowania aplikacji. Osoby próbujące ręcznie odinstalować aplikację mogą zauważyć, że bot automatycznie kliknie przycisk Wstecz, gdy użytkownik dotrze do ekranu szczegółów aplikacji, skutecznie blokując im dostęp do przycisku odinstalowania.
ArsTechnica zauważa, że firma Google usunęła wszystkie aplikacje ze Sklepu Play, o których wiadomo, że zawierają zakraplacz Brunhilda, ale możliwe, że w przyszłości mogą pojawić się nowe aplikacje. W związku z tym użytkownicy powinni instalować tylko zaufane aplikacje na swoich urządzeniach z Androidem. Podczas gdy Vultur celuje głównie w aplikacje bankowe, znany jest również z rejestrowania kluczowych danych wejściowych dla aplikacji takich jak Facebook, WhatsApp i innych aplikacji społecznościowych.
