Egy nemrégiben felfedezett banki rosszindulatú program új módszert használ a bejelentkezési adatok rögzítésére Android-eszközökön.
A ThreatFabric, az amszterdami székhelyű biztonsági cég márciusban fedezte fel először az új kártevőt, amelyet Vulturnak hívnak. Az ArsTechnica szerint a Vultur lemond a hitelesítő adatok rögzítésének korábban szokásos módjáról, és ehelyett a virtuális hálózati számítástechnikát (VNC) használja távoli elérési képességekkel, hogy rögzítse a képernyőt, amikor a felhasználó megadja bejelentkezési adatait bizonyos alkalmazásokba.
Míg a kártevőt eredetileg márciusban fedezték fel, a ThreatFabric kutatói úgy vélik, hogy összekapcsolták a Brunhilda dropperrel, egy olyan rosszindulatú programcseppelővel, amelyet korábban számos Google Play alkalmazásban használtak más banki kártevők terjesztésére.
A ThreatFabric azt is elmondja, hogy a Vultur módszere az adatgyűjtéshez eltér a korábbi Android trójaiaktól. Nem helyez ablakot az alkalmazásra az alkalmazásba bevitt adatok összegyűjtésére. Ehelyett VNC-t használ a képernyő rögzítésére, és az adatokat visszaküldi az azt futtató rossz szereplőknek.
A ThreatFabric szerint a Vultur úgy működik, hogy nagymértékben támaszkodik az Android-eszközön található akadálymentesítési szolgáltatásokra. Amikor a rosszindulatú program elindul, elrejti az alkalmazás ikonját, majd "visszaél a szolgáltatásokkal, hogy megszerezze a megfelelő működéshez szükséges összes engedélyt". A ThreatFabric szerint ez egy hasonló módszer, mint amit egy korábbi Alien nevű rosszindulatú programnál használtak, és amelyről úgy véli, hogy a Vulturhoz kapcsolódhat.
A Vultur által okozott legnagyobb veszély az, hogy rögzíti annak az Android-eszköznek a képernyőjét, amelyre telepítve van. A Kisegítő szolgáltatások segítségével nyomon követi, hogy melyik alkalmazás fut az előtérben. Ha az alkalmazás szerepel a Vultur céllistáján, a trójai elkezdi a rögzítést, és rögzíti a beírt vagy beírt dolgokat.
Ezenkívül a ThreatFabric kutatói szerint a keselyű zavarja az alkalmazások telepítésének hagyományos módszereit. Azok, akik megpróbálják manuálisan eltávolítani az alkalmazást, azt tapasztalhatják, hogy a bot automatikusan rákattint a vissza gombra, amikor a felhasználó eléri az alkalmazás részleteinek képernyőjét, így gyakorlatilag megakadályozza, hogy elérjék az eltávolítás gombot.
Az ArsTechnica megjegyzi, hogy a Google eltávolította az összes olyan Play Áruház alkalmazást, amelyről ismert, hogy a Brunhilda cseppentőt tartalmazzák, de lehetséges, hogy a jövőben új alkalmazások jelenhetnek meg. Ezért a felhasználóknak csak megbízható alkalmazásokat kell telepíteniük Android-eszközeikre. Míg a Vultur főként banki alkalmazásokat céloz meg, az is ismert, hogy naplózza az olyan alkalmazások kulcsfontosságú bemeneteit, mint a Facebook, a WhatsApp és más közösségi médiaalkalmazások.
