Откривен нови малвер за Андроид банкарство

Недавно откривени банкарски малвер користи нови начин снимања акредитива за пријаву на Андроид уређаје.

ТхреатФабриц, безбедносна фирма са седиштем у Амстердаму, први пут је открила нови малвер, који назива Вултур, у марту. Према АрсТецхница, Вултур се одриче претходног стандардног начина хватања акредитива и уместо тога користи рачунарство виртуелне мреже (ВНЦ) са могућношћу даљинског приступа за снимање екрана када корисник унесе своје податке за пријаву у одређене апликације.

Иако је малвер првобитно откривен у марту, истраживачи са ТхреатФабриц верују да су га повезали Брунхилда дроппер, избацивач злонамерног софтвера који се раније користио у неколико Гоогле Плаи апликација за дистрибуцију других банкарских злонамерних програма.

ТхреатФабриц такође каже да се начин на који Вултур приступа прикупљању података разликује од прошлих Андроид тројанаца. Не поставља прозор изнад апликације за прикупљање података које уносите у апликацију. Уместо тога, користи ВНЦ да сними екран и пренесе те податке назад лошим актерима који га воде.

Према ТхреатФабриц-у, Вултур ради тако што се у великој мери ослања на услуге приступачности које се налазе на Андроид уређају. Када се малвер покрене, он сакрива икону апликације, а затим „злоупотребљава услуге да би добио све што је потребно дозволе за исправан рад." ТхреатФабриц каже да је ово сличан метод оном који је коришћен у претходном малверу позвани Алиен, за који верује да би могао бити повезан са Вултуром.

Највећа претња коју Вултур доноси је то што снима екран Андроид уређаја на којем је инсталиран. Користећи услуге приступачности, он прати која апликација ради у првом плану. Ако се та апликација налази на Вултуровој циљној листи, тројанац ће почети да снима и ухватиће све што сте откуцали или унели.

Поред тога, истраживачи ТхреатФабриц-а кажу да лешинар омета традиционалне методе инсталирања апликација. Они који покушавају ручно да деинсталирају апликацију могу открити да бот аутоматски кликне на дугме за повратак када корисник дође до екрана са детаљима о апликацији, ефективно их блокира да не дођу до деинсталирања дугме.

АрсТецхница напомиње да је Гоогле уклонио све апликације из Плаи продавнице за које се зна да садрже Брунхилда дроппер, али је могуће да би се нове апликације могле појавити у будућности. Као такви, корисници би требало да инсталирају само поуздане апликације на своје Андроид уређаје. Док Вултур углавном циља на банкарске апликације, познато је и да евидентира кључне уносе за апликације као што су Фацебоок, ВхатсАпп и друге апликације за друштвене медије.