Objeven nový Android Banking Malware

Nedávno objevený bankovní malware používá nový způsob záznamu přihlašovacích údajů na zařízeních Android.

ThreatFabric, bezpečnostní firma se sídlem v Amsterdamu, poprvé objevila nový malware, který nazývá Vultur, v březnu. Podle ArsTechnica, Vultur upouští od dříve standardního způsobu získávání přihlašovacích údajů a místo toho využívá virtuální síťové výpočty (VNC) s možností vzdáleného přístupu pro záznam obrazovky, když uživatel zadá své přihlašovací údaje do konkrétních aplikací.

Přestože byl malware původně objeven v březnu, výzkumníci z ThreatFabric se domnívají, že se k němu připojili kapátko Brunhilda, kapátko malwaru používané dříve v několika aplikacích Google Play k distribuci jiného bankovnictví malware.

ThreatFabric také říká, že způsob, jakým Vultur přistupuje ke shromažďování dat, se liší od předchozích trojských koní pro Android. Přes aplikaci nepřekrývá okno pro shromažďování dat, která do aplikace zadáte. Místo toho používá VNC k záznamu obrazovky a předává tato data zpět špatným aktérům, kteří ji provozují.

Podle ThreatFabric Vultur funguje tak, že se silně spoléhá na služby zpřístupnění, které se nacházejí na zařízení Android. Když je malware spuštěn, skryje ikonu aplikace a poté „zneužije služby k získání všeho potřebného oprávnění ke správnému fungování." ThreatFabric říká, že jde o podobnou metodu jako u předchozího malwaru volala Mimozemšťan, o kterém se domnívá, že by mohl být napojen na Vultur.

Největší hrozbou, kterou Vultur přináší, je to, že zaznamenává obrazovku zařízení Android, na kterém je nainstalován. Pomocí služeb zpřístupnění sleduje, jaká aplikace běží v popředí. Pokud je tato aplikace na cílovém seznamu Vultur, trojský kůň začne nahrávat a zachytí vše napsané nebo zadané.

Výzkumníci z ThreatFabric navíc tvrdí, že sup zasahuje do tradičních metod instalace aplikací. Ti, kteří se pokoušejí aplikaci ručně odinstalovat, mohou zjistit, že robot automaticky klikne na tlačítko Zpět když se uživatel dostane na obrazovku s podrobnostmi o aplikaci, čímž se účinně uzamkne, aby se nedostal k odinstalaci knoflík.

ArsTechnica poznamenává, že Google odstranil všechny aplikace z Obchodu Play, o kterých je známo, že obsahují kapátko Brunhilda, ale je možné, že se v budoucnu objeví nové aplikace. Uživatelé by proto měli do svých zařízení Android instalovat pouze důvěryhodné aplikace. Zatímco Vultur se většinou zaměřuje na bankovní aplikace, je také známo, že protokoluje klíčové vstupy pro aplikace, jako je Facebook, WhatsApp a další aplikace sociálních médií.