En nylig oppdaget bankprogramvare bruker en ny måte å registrere påloggingsinformasjon på Android-enheter.
ThreatFabric, et sikkerhetsfirma med base i Amsterdam, oppdaget først den nye skadelige programvaren, som den kaller Vultur, i mars. I følge ArsTechnica, gir Vultur avkall på den tidligere standardmåten for å registrere legitimasjon og bruker i stedet virtuell nettverksdatabehandling (VNC) med fjerntilgangsevner for å ta opp skjermen når en bruker skriver inn påloggingsdetaljene sine i spesifikke applikasjoner.
Mens skadelig programvare opprinnelig ble oppdaget i mars, tror forskere med ThreatFabric at de har koblet den til Brunhilda dropper, en malware dropper som tidligere ble brukt i flere Google Play-apper for å distribuere annen bankprogramvare.
ThreatFabric sier også at måten Vultur nærmer seg innsamling av data på er forskjellig fra tidligere Android-trojanere. Den legger ikke et vindu over applikasjonen for å samle inn dataene du legger inn i appen. I stedet bruker den VNC til å ta opp skjermen og videresende dataene tilbake til de dårlige skuespillerne som kjører den.
Ifølge ThreatFabric fungerer Vultur ved å stole sterkt på tilgjengelighetstjenester som finnes på Android-enheten. Når skadevaren startes, skjuler den appikonet og "misbruker tjenestene for å få alle nødvendige tillatelser for å fungere skikkelig." ThreatFabric sier at dette er en lignende metode som den som ble brukt i en tidligere skadelig programvare k alt Alien, som den tror kan kobles til Vultur.
Den største trusselen Vultur bringer er at den tar opp skjermen til Android-enheten den er installert på. Ved å bruke tilgjengelighetstjenestene holder den styr på hvilken applikasjon som kjører i forgrunnen. Hvis den applikasjonen er på Vulturs målliste, vil trojaneren starte opptaket og fange opp alt som skrives eller skrives inn.
I tillegg sier ThreatFabric-forskere at gribb forstyrrer tradisjonelle metoder for å installere apper. De som prøver å avinstallere applikasjonen manuelt, kan finne at roboten automatisk klikker tilbake-knappen når brukeren kommer til skjermbildet for appdetaljer, og blokkerer dem effektivt fra å nå avinstalleringsknappen.
ArsTechnica bemerker at Google har fjernet alle Play Store-appene som er kjent for å inneholde Brunhilda-dråperen, men det er mulig nye apper kan dukke opp i fremtiden. Som sådan bør brukere bare installere pålitelige apper på Android-enhetene sine. Mens Vultur stort sett retter seg mot bankapplikasjoner, har det også vært kjent å logge nøkkelinndata for applikasjoner som Facebook, WhatsApp og andre sosiale medier-apper.
