Atklāta jauna Android banku ļaunprātīga programmatūra
Nesen atklātā banku ļaunprātīgā programmatūra izmanto jaunu veidu, kā reģistrēt pieteikšanās akreditācijas datus Android ierīcēs.
DraudiAudums, apsardzes firma, kas atrodas Amsterdamā, pirmo reizi atklāja jauno ļaunprogrammatūru, ko tā sauc par Vultur, martā. Saskaņā ar ArsTechnica, Vultur atsakās no iepriekš standarta akreditācijas datu iegūšanas veida un tā vietā izmanto virtuālā tīkla skaitļošanu (VNC) ar attālās piekļuves iespējām, lai ierakstītu ekrānu, kad lietotājs ievada savu pieteikšanās informāciju noteiktās lietojumprogrammās.
Daniels Romero / Unsplash
Lai gan ļaunprogrammatūra sākotnēji tika atklāta martā, ThreatFabric pētnieki uzskata, ka viņi to ir saistījuši Brunhilda pilinātājs, ļaunprātīgas programmatūras pilinātājs, kas iepriekš tika izmantots vairākās Google Play lietotnēs, lai izplatītu citas bankas ļaunprogrammatūra.
ThreatFabric arī saka, ka veids, kā Vultur pieeja datu apkopošanai, atšķiras no iepriekšējiem Android Trojas zirgiem. Tas neuzliek logu virs lietojumprogrammas, lai apkopotu lietotnē ievadītos datus. Tā vietā tas izmanto VNC, lai ierakstītu ekrānu un nosūtītu šos datus atpakaļ sliktajiem dalībniekiem, kas to pārvalda.
Saskaņā ar ThreatFabric teikto, Vultur darbojas, lielā mērā paļaujoties uz pieejamības pakalpojumiem, kas atrodami Android ierīcē. Kad ļaunprogrammatūra tiek palaista, tā paslēpj lietotnes ikonu un pēc tam "ļaunprātīgi izmanto pakalpojumus, lai iegūtu visu nepieciešamo atļaujas pareizi darboties." ThreatFabric saka, ka šī metode ir līdzīga tai, kas tika izmantota iepriekšējā ļaunprātīgā programmatūrā. sauca Citplanētietis, kas, pēc tās domām, varētu būt saistīts ar Vultur.
Lielākais drauds, ko rada Vultur, ir tas, ka tas ieraksta tās Android ierīces ekrānu, kurā tas ir instalēts. Izmantojot pieejamības pakalpojumus, tas seko priekšplānā esošajai lietojumprogrammai. Ja šī lietojumprogramma ir Vultur mērķa sarakstā, Trojas zirgs sāks ierakstīt un tver visu, kas ierakstīts vai ievadīts.
DraudiAudums
Turklāt ThreatFabric pētnieki saka, ka grifs traucē tradicionālās lietotņu instalēšanas metodes. Tie, kas mēģina manuāli atinstalēt lietojumprogrammu, var konstatēt, ka robots automātiski noklikšķina uz pogas Atpakaļ kad lietotājs sasniedz lietotnes informācijas ekrānu, efektīvi bloķējot viņu iespēju piekļūt atinstalējam pogu.
ArsTechnica atzīmē, ka Google ir noņēmis visas Play veikala lietotnes, kurās ir zināms Brunhilda pilinātājs, taču iespējams, ka nākotnē varētu parādīties jaunas lietotnes. Tādējādi lietotājiem Android ierīcēs ir jāinstalē tikai uzticamas lietotnes. Lai gan Vultur galvenokārt ir paredzēts banku lietojumprogrammām, ir zināms arī, ka tiek reģistrēti galvenie ievades dati tādām lietojumprogrammām kā Facebook, WhatsApp un citām sociālo mediju lietotnēm.