Un program malware bancar descoperit recent folosește o nouă modalitate de a înregistra acreditările de conectare pe dispozitivele Android.
ThreatFabric, o firmă de securitate cu sediul în Amsterdam, a descoperit pentru prima dată noul malware, pe care îl numește Vultur, în martie. Potrivit ArsTechnica, Vultur renunță la modul standard anterior de captare a acreditărilor și utilizează în schimb calcularea în rețea virtuală (VNC) cu abilități de acces la distanță pentru a înregistra ecranul atunci când un utilizator introduce detaliile de conectare în anumite aplicații.
În timp ce malware-ul a fost descoperit inițial în martie, cercetătorii de la ThreatFabric cred că l-au conectat la Brunhilda dropper, un dropper de malware folosit anterior în mai multe aplicații Google Play pentru a distribui alte programe malware bancare.
ThreatFabric mai spune că modul în care Vultur abordează colectarea datelor este diferit de troienii Android din trecut. Nu suprapune o fereastră peste aplicație pentru a colecta datele pe care le introduceți în aplicație. În schimb, folosește VNC pentru a înregistra ecranul și a transmite acele date actorilor răi care îl conduc.
Conform ThreatFabric, Vultur funcționează bazându-se în mare măsură pe Serviciile de accesibilitate găsite pe dispozitivul Android. Când malware-ul este pornit, acesta ascunde pictograma aplicației și apoi „abuzează de servicii pentru a obține toate permisiunile necesare pentru a funcționa corect”. ThreatFabric spune că aceasta este o metodă similară cu cea folosită într-un program malware anterior numit Alien, despre care crede că ar putea fi conectat la Vultur.
Cea mai mare amenințare pe care Vultur o aduce este că înregistrează ecranul dispozitivului Android pe care este instalat. Utilizând serviciile de accesibilitate, ține evidența aplicației care rulează în prim-plan. Dacă acea aplicație se află pe lista țintă a lui Vultur, troianul va începe să înregistreze și va captura orice tast sau introdus.
În plus, cercetătorii ThreatFabric spun că vulturul interferează cu metodele tradiționale de instalare a aplicațiilor. Cei care încearcă să dezinstaleze manual aplicația pot descoperi că botul dă clic automat pe butonul Înapoi când utilizatorul ajunge la ecranul cu detaliile aplicației, blocându-i efectiv să nu mai ajungă la butonul de dezinstalare.
ArsTechnica observă că Google a eliminat toate aplicațiile Play Store despre care se știa că conțin dropperul Brunhilda, dar este posibil să apară noi aplicații în viitor. Ca atare, utilizatorii ar trebui să instaleze numai aplicații de încredere pe dispozitivele lor Android. În timp ce Vultur vizează mai ales aplicațiile bancare, se știe și că înregistrează intrările cheie pentru aplicații precum Facebook, WhatsApp și alte aplicații de social media.
