Наскоро открит банков зловреден софтуер използва нов начин за записване на идентификационни данни за вход на устройства с Android.
ThreatFabric, фирма за сигурност, базирана в Амстердам, за първи път откри новия зловреден софтуер, който нарича Vultur, през март. Според ArsTechnica, Vultur се отказва от предишния стандартен начин за улавяне на идентификационни данни и вместо това използва изчислителна виртуална мрежа (VNC) с възможности за отдалечен достъп, за да записва екрана, когато потребителят въвежда своите данни за вход в конкретни приложения.
Докато злонамереният софтуер първоначално беше открит през март, изследователи от ThreatFabric вярват, че са го свързали с капкомера Brunhilda, капкомер за злонамерен софтуер, използван преди това в няколко приложения на Google Play за разпространение на друг банков злонамерен софтуер.
ThreatFabric също казва, че начинът, по който Vultur подхожда към събирането на данни, е различен от предишните троянски коне за Android. Той не наслагва прозорец върху приложението, за да събира данните, които въвеждате в приложението. Вместо това той използва VNC, за да записва екрана и да предава тези данни обратно на лошите участници, които го управляват.
Според ThreatFabric, Vultur работи, като разчита в голяма степен на услугите за достъпност, намиращи се на устройството с Android. Когато злонамереният софтуер се стартира, той скрива иконата на приложението и след това „злоупотребява с услугите, за да получи всички необходими разрешения за правилна работа“. ThreatFabric казва, че това е метод, подобен на този, използван в предишен зловреден софтуер, наречен Alien, за който смята, че може да бъде свързан с Vultur.
Най-голямата заплаха, която Vultur носи е, че записва екрана на устройството с Android, на което е инсталиран. Използвайки услугите за достъпност, той следи какво приложение работи на преден план. Ако това приложение е в целевия списък на Vultur, троянският кон ще започне да записва и ще улавя всичко въведено или въведено.
Освен това, изследователите на ThreatFabric казват, че лешоядът пречи на традиционните методи за инсталиране на приложения. Онези, които се опитват ръчно да деинсталират приложението, може да открият, че ботът автоматично щраква върху бутона за връщане назад, когато потребителят стигне до екрана с подробности за приложението, което ефективно ги блокира от достигането до бутона за деинсталиране.
ArsTechnica отбелязва, че Google е премахнал всички приложения от Play Store, за които е известно, че съдържат капкомера Brunhilda, но е възможно в бъдеще да се появят нови приложения. Като такива, потребителите трябва да инсталират само надеждни приложения на своите устройства с Android. Докато Vultur е насочен най-вече към банкови приложения, също така е известно, че регистрира ключови данни за приложения като Facebook, WhatsApp и други приложения за социални медии.