Nedávno objavený bankový malvér používa nový spôsob zaznamenávania prihlasovacích údajov na zariadeniach so systémom Android.
ThreatFabric, bezpečnostná firma so sídlom v Amsterdame, prvýkrát objavila nový malvér, ktorý nazýva Vultur, v marci. Podľa ArsTechnica sa Vultur zrieka predtým štandardného spôsobu získavania prihlasovacích údajov a namiesto toho využíva virtuálnu sieťovú výpočtovú techniku (VNC) so schopnosťou vzdialeného prístupu na zaznamenanie obrazovky, keď používateľ zadá svoje prihlasovacie údaje do konkrétnych aplikácií.
Zatiaľ čo malvér bol pôvodne objavený v marci, výskumníci z ThreatFabric sa domnievajú, že ho prepojili s kvapkadlom Brunhilda, kvapkadlom malvéru, ktoré sa predtým používalo v niekoľkých aplikáciách Google Play na distribúciu iného bankového malvéru.
ThreatFabric tiež hovorí, že spôsob, akým Vultur pristupuje k zhromažďovaniu údajov, je odlišný od predchádzajúcich trójskych koní pre Android. Neprekrýva aplikáciu oknom na zhromažďovanie údajov, ktoré do aplikácie zadáte. Namiesto toho používa VNC na nahrávanie obrazovky a odovzdáva tieto údaje späť zlým hercom, ktorí ju spúšťajú.
Podľa ThreatFabric funguje Vultur tak, že sa vo veľkej miere spolieha na služby dostupnosti, ktoré sa nachádzajú na zariadení so systémom Android. Keď sa malvér spustí, skryje ikonu aplikácie a potom „zneužije služby na získanie všetkých potrebných povolení na správne fungovanie“. ThreatFabric hovorí, že ide o podobnú metódu, ktorá bola použitá v predchádzajúcom malvéri s názvom Alien, o ktorom sa domnieva, že by mohol byť prepojený s Vultur.
Najväčšou hrozbou, ktorú Vultur prináša, je, že zaznamenáva obrazovku zariadenia Android, na ktorom je nainštalovaný. Pomocou služieb dostupnosti sleduje, ktorá aplikácia beží v popredí. Ak je táto aplikácia na cieľovom zozname Vultur, trójsky kôň začne nahrávať a zachytí čokoľvek napísané alebo zadané.
Vedci z ThreatFabric navyše tvrdia, že sup zasahuje do tradičných metód inštalácie aplikácií. Tí, ktorí sa pokúšajú aplikáciu manuálne odinštalovať, môžu zistiť, že robot automaticky klikne na tlačidlo Späť, keď sa používateľ dostane na obrazovku s podrobnosťami o aplikácii, čím ho účinne uzamkne, aby sa nedostal na tlačidlo odinštalovať.
ArsTechnica poznamenáva, že Google odstránil všetky aplikácie z Obchodu Play, o ktorých je známe, že obsahujú kvapkadlo Brunhilda, ale je možné, že sa v budúcnosti objavia nové aplikácie. Používatelia by si preto do svojich zariadení so systémom Android mali inštalovať iba dôveryhodné aplikácie. Aj keď sa Vultur väčšinou zameriava na bankové aplikácie, je tiež známe, že zaznamenáva kľúčové vstupy pre aplikácie ako Facebook, WhatsApp a ďalšie aplikácie sociálnych médií.
