Uusi Android-pankkihaittaohjelma löydetty

Äskettäin löydetty pankkihaittaohjelma käyttää uutta tapaa tallentaa kirjautumistiedot Android-laitteissa.

Uhka KangasAmsterdamissa toimiva turvayritys löysi ensimmäisen kerran uuden haittaohjelman, jota se kutsuu nimellä Vultur, maaliskuussa. Mukaan ArsTechnica, Vultur luopuu aiemmin tavanomaisesta tunnistetietojen kaappaamisesta ja käyttää sen sijaan virtuaalista verkkolaskentaa (VNC), jossa on etäkäyttömahdollisuus tallentaa näytön, kun käyttäjä syöttää kirjautumistietonsa tiettyihin sovelluksiin.

Vaikka haittaohjelma löydettiin alun perin maaliskuussa, ThreatFabricin tutkijat uskovat yhdistäneensä sen Brunhilda dropper, haittaohjelmien dropper, jota käytettiin aiemmin useissa Google Play -sovelluksissa muiden pankkien jakeluun haittaohjelma.

ThreatFabric sanoo myös, että tapa, jolla Vultur lähestyy tietojen keräämistä, eroaa aiemmista Android-troijalaisista. Se ei aseta sovelluksen päälle ikkunaa sovellukseen syöttämiesi tietojen keräämistä varten. Sen sijaan se käyttää VNC: tä näytön tallentamiseen ja välittää tiedot takaisin sitä pyörittäville huonoille toimijoille.

ThreatFabricin mukaan Vultur toimii tukeutumalla voimakkaasti Android-laitteelta löytyviin Accessibility Services -palveluihin. Kun haittaohjelma käynnistetään, se piilottaa sovelluskuvakkeen ja "käyttää palveluita väärin saadakseen kaiken tarvittavan oikeudet toimia kunnolla." ThreatFabricin mukaan tämä on samanlainen menetelmä kuin aikaisemmassa haittaohjelmassa nimeltään Ulkomaalainen, jonka se uskoo olevan yhteydessä Vulturiin.

Suurin Vulturin tuoma uhka on se, että se tallentaa sen Android-laitteen näytön, johon se on asennettu. Esteettömyyspalveluiden avulla se seuraa, mikä sovellus on käynnissä etualalla. Jos kyseinen sovellus on Vulturin kohdeluettelossa, troijalainen aloittaa tallennuksen ja kaappaa kaiken kirjoitetun tai syötetyn.

Lisäksi ThreatFabricin tutkijat sanovat, että korppikotka häiritsee perinteisiä sovellusten asennusmenetelmiä. Ne, jotka yrittävät poistaa sovelluksen manuaalisesti, saattavat huomata, että botti napsauttaa automaattisesti Takaisin-painiketta kun käyttäjä saapuu sovelluksen tietonäytölle, mikä estää häntä pääsemästä poistosovellukseen -painiketta.

ArsTechnica huomauttaa, että Google on poistanut kaikki Play Kaupan sovellukset, joiden tiedetään sisältävän Brunhilda-pisarat, mutta on mahdollista, että uusia sovelluksia ilmestyy tulevaisuudessa. Sellaisenaan käyttäjien tulee asentaa vain luotettuja sovelluksia Android-laitteilleen. Vaikka Vultur kohdistaa enimmäkseen pankkisovelluksia, sen on myös tiedetty kirjaavan avainsyötteitä sovelluksille, kuten Facebook, WhatsApp ja muut sosiaalisen median sovellukset.