'n Onlangs ontdekte bankwanware gebruik 'n nuwe manier om aanmeldbewyse op Android-toestelle aan te teken.
ThreatFabric, 'n sekuriteitsfirma in Amsterdam, het die eerste keer in Maart die nuwe wanware, wat dit Vultur noem, ontdek. Volgens ArsTechnica laat Vultur afstand van die voorheen standaard manier om geloofsbriewe vas te lê en gebruik eerder virtuele netwerkrekenaar (VNC) met afstandtoegangsvermoëns om die skerm op te neem wanneer 'n gebruiker hul aanmeldbesonderhede by spesifieke toepassings invoer.
Terwyl die wanware oorspronklik in Maart ontdek is, glo navorsers met ThreatFabric dat hulle dit aan die Brunhilda-dropper gekoppel het, 'n wanware-dropper wat voorheen in verskeie Google Play-toepassings gebruik is om ander bankwanware te versprei.
ThreatFabric sê ook dat die manier waarop Vultur die insameling van data benader, verskil van vorige Android-trojane. Dit plaas nie 'n venster oor die toepassing om die data wat u in die toepassing invoer, in te samel nie. In plaas daarvan gebruik dit VNC om die skerm op te neem en daardie data terug te stuur na die slegte akteurs wat dit bestuur.
Volgens ThreatFabric werk Vultur deur sterk staat te maak op Toeganklikheidsdienste wat op die Android-toestel gevind word. Wanneer die wanware begin word, versteek dit die toepassingikoon en "misbruik dan die dienste om al die nodige toestemmings te verkry om behoorlik te werk." ThreatFabric sê dit is 'n soortgelyke metode as die een wat gebruik is in 'n vorige wanware genaamd Alien, wat hy glo aan Vultur gekoppel kan word.
Die grootste bedreiging wat Vultur inhou, is dat dit die skerm van die Android-toestel waarop dit geïnstalleer is, opneem. Deur die Toeganklikheidsdienste te gebruik, hou dit tred met watter toepassing op die voorgrond loop. As daardie toepassing op Vultur se teikenlys is, sal die trojan begin opneem en sal enigiets wat getik of ingevoer is, vasvang.
Boonop sê ThreatFabric-navorsers dat aasvoël inmeng met tradisionele metodes om toepassings te installeer. Diegene wat probeer om die toepassing handmatig te deïnstalleer, kan vind dat die bot outomaties die terugknoppie klik wanneer die gebruiker die toepassingbesonderhedeskerm bereik, wat hulle effektief uitsluit om die verwyderingknoppie te bereik.
ArsTechnica merk op dat Google al die Play Winkel-toepassings verwyder het wat bekend is dat dit die Brunhilda-drupper bevat, maar dit is moontlik dat nuwe toepassings in die toekoms kan verskyn. As sodanig moet gebruikers slegs vertroude toepassings op hul Android-toestelle installeer. Alhoewel Vultur meestal banktoepassings teiken, is dit ook bekend om sleutelinsette vir toepassings soos Facebook, WhatsApp en ander sosialemediatoepassings aan te teken.
