Odkrita nova zlonamerna programska oprema za bančništvo Android

Nedavno odkrita bančna zlonamerna programska oprema uporablja nov način beleženja prijavnih poverilnic v napravah Android.

ThreatFabric, varnostno podjetje s sedežem v Amsterdamu, je marca prvič odkrilo novo zlonamerno programsko opremo, ki jo imenuje Vultur. Po navedbah ArsTechnica, Vultur se odpove prejšnjemu standardnemu načinu zajemanja poverilnic in namesto tega uporablja računalništvo navideznega omrežja (VNC) z možnostmi oddaljenega dostopa za snemanje zaslona, ​​ko uporabnik vnese svoje podatke za prijavo v določene aplikacije.

Medtem ko je bila zlonamerna programska oprema prvotno odkrita marca, raziskovalci s ThreatFabric verjamejo, da so jo povezali Brunhilda dropper, odstranjevalec zlonamerne programske opreme, ki se je prej uporabljal v več aplikacijah Google Play za distribucijo drugih bančnih zlonamerna programska oprema.

ThreatFabric tudi pravi, da je način, kako Vultur pristopi k zbiranju podatkov, drugačen od prejšnjih trojanskih operacij Android. Ne prekriva okna nad aplikacijo za zbiranje podatkov, ki jih vnesete v aplikacijo. Namesto tega uporablja VNC za snemanje zaslona in posredovanje teh podatkov nazaj slabim akterjem, ki ga vodijo.

Glede na ThreatFabric, Vultur deluje tako, da se močno zanaša na storitve dostopnosti, ki jih najdemo v napravi Android. Ko se zlonamerna programska oprema zažene, skrije ikono aplikacije in nato "zlorabi storitve, da pridobi vse potrebno dovoljenja za pravilno delovanje." ThreatFabric pravi, da je to podobna metoda kot pri prejšnji zlonamerni programski opremi poklical Tujec, za katerega meni, da bi lahko bil povezan z Vulturjem.

Največja grožnja, ki jo prinaša Vultur, je, da snema zaslon naprave Android, na kateri je nameščen. S storitvami za dostopnost spremlja, katera aplikacija se izvaja v ospredju. Če je ta aplikacija na Vulturjevem ciljnem seznamu, bo trojanec začel snemati in zajel vse, kar ste vnesli ali vnesli.

Poleg tega raziskovalci ThreatFabric pravijo, da jastreb moti tradicionalne metode nameščanja aplikacij. Tisti, ki poskušajo ročno odstraniti aplikacijo, bodo morda ugotovili, da bot samodejno klikne gumb za nazaj ko uporabnik doseže zaslon s podrobnostmi o aplikaciji, ga dejansko prepreči, da bi dosegel odstranitev gumb.

ArsTechnica ugotavlja, da je Google odstranil vse aplikacije iz Trgovine Play, za katere je znano, da vsebujejo kapalko Brunhilda, vendar je možno, da bi se v prihodnosti pojavile nove aplikacije. Zato naj uporabniki na svoje naprave Android namestijo samo zaupanja vredne aplikacije. Medtem ko Vultur večinoma cilja na bančne aplikacije, je znano tudi, da beleži ključne vnose za aplikacije, kot so Facebook, WhatsApp in druge aplikacije družbenih medijev.