Ένα τραπεζικό κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα χρησιμοποιεί έναν νέο τρόπο για την καταγραφή των διαπιστευτηρίων σύνδεσης σε συσκευές Android.
Η ThreatFabric, μια εταιρεία ασφαλείας με έδρα το Άμστερνταμ, ανακάλυψε για πρώτη φορά το νέο κακόβουλο λογισμικό, το οποίο ονομάζει Vultur, τον Μάρτιο. Σύμφωνα με την ArsTechnica, το Vultur παραιτείται από τον προηγουμένως τυπικό τρόπο λήψης διαπιστευτηρίων και αντ' αυτού χρησιμοποιεί υπολογιστικό εικονικό δίκτυο (VNC) με δυνατότητες απομακρυσμένης πρόσβασης για την εγγραφή της οθόνης όταν ένας χρήστης εισάγει τα στοιχεία σύνδεσής του σε συγκεκριμένες εφαρμογές.
Ενώ το κακόβουλο λογισμικό ανακαλύφθηκε αρχικά τον Μάρτιο, οι ερευνητές του ThreatFabric πιστεύουν ότι το έχουν συνδέσει με το σταγονόμετρο Brunhilda, ένα σταγονόμετρο κακόβουλου λογισμικού που χρησιμοποιήθηκε στο παρελθόν σε πολλές εφαρμογές του Google Play για τη διανομή άλλων τραπεζικών κακόβουλων προγραμμάτων.
Το ThreatFabric λέει επίσης ότι ο τρόπος με τον οποίο η Vultur προσεγγίζει τη συλλογή δεδομένων είναι διαφορετικός από τους προηγούμενους trojans Android. Δεν υπερθέτει ένα παράθυρο πάνω από την εφαρμογή για τη συλλογή των δεδομένων που εισάγετε στην εφαρμογή. Αντίθετα, χρησιμοποιεί VNC για την εγγραφή της οθόνης και την αναμετάδοση αυτών των δεδομένων στους κακούς ηθοποιούς που την εκτελούν.
Σύμφωνα με το ThreatFabric, το Vultur λειτουργεί βασιζόμενος σε μεγάλο βαθμό στις Υπηρεσίες Προσβασιμότητας που βρίσκονται στη συσκευή Android. Κατά την εκκίνηση του κακόβουλου λογισμικού, αποκρύπτει το εικονίδιο της εφαρμογής και στη συνέχεια "καταχράται τις υπηρεσίες για να αποκτήσει όλα τα απαραίτητα δικαιώματα για τη σωστή λειτουργία". Η ThreatFabric λέει ότι αυτή είναι μια παρόμοια μέθοδος με αυτή που χρησιμοποιήθηκε σε ένα προηγούμενο κακόβουλο λογισμικό που ονομάζεται Alien, το οποίο πιστεύει ότι θα μπορούσε να συνδεθεί με το Vultur.
Η μεγαλύτερη απειλή που φέρνει το Vultur είναι ότι καταγράφει την οθόνη της συσκευής Android στην οποία είναι εγκατεστημένη. Χρησιμοποιώντας τις Υπηρεσίες Προσβασιμότητας, παρακολουθεί ποια εφαρμογή εκτελείται στο προσκήνιο. Εάν αυτή η εφαρμογή βρίσκεται στη λίστα στόχων του Vultur, το trojan θα ξεκινήσει την εγγραφή και θα καταγράψει οτιδήποτε πληκτρολογήσετε ή εισαγάγετε.
Επιπλέον, οι ερευνητές της ThreatFabric λένε ότι το vulture παρεμβαίνει στις παραδοσιακές μεθόδους εγκατάστασης εφαρμογών. Όσοι προσπαθούν να απεγκαταστήσουν με μη αυτόματο τρόπο την εφαρμογή ενδέχεται να διαπιστώσουν ότι το ρομπότ κάνει αυτόματα κλικ στο κουμπί πίσω όταν ο χρήστης φτάσει στην οθόνη λεπτομερειών της εφαρμογής, εμποδίζοντάς τους ουσιαστικά να μην φτάσουν στο κουμπί απεγκατάστασης.
Η ArsTechnica σημειώνει ότι η Google έχει αφαιρέσει όλες τις εφαρμογές του Play Store που είναι γνωστό ότι περιέχουν το σταγονόμετρο Brunhilda, αλλά είναι πιθανό να εμφανιστούν νέες εφαρμογές στο μέλλον. Ως εκ τούτου, οι χρήστες θα πρέπει μόνο να εγκαταστήσουν αξιόπιστες εφαρμογές στις συσκευές τους Android. Ενώ το Vultur στοχεύει κυρίως τραπεζικές εφαρμογές, είναι επίσης γνωστό ότι καταγράφει βασικές εισόδους για εφαρμογές όπως το Facebook, το WhatsApp και άλλες εφαρμογές κοινωνικών μέσων.
