Nedavno otkriveni bankarski zlonamjerni softver koristi novi način snimanja akreditiva za prijavu na Android uređaje.
ThreatFabric, sigurnosna firma sa sjedištem u Amsterdamu, prvi put je otkrila novi zlonamjerni softver, koji naziva Vultur, u martu. Prema ArsTechnici, Vultur se odriče prethodnog standardnog načina hvatanja akreditiva i umjesto toga koristi virtuelno mrežno računanje (VNC) sa mogućnostima daljinskog pristupa za snimanje ekrana kada korisnik unese svoje podatke za prijavu u određene aplikacije.
Dok je zlonamjerni softver prvobitno otkriven u martu, istraživači sa ThreatFabric vjeruju da su ga povezali sa Brunhilda dropperom, alatom za ispuštanje zlonamjernog softvera koji se ranije koristio u nekoliko Google Play aplikacija za distribuciju drugog bankarskog zlonamjernog softvera.
ThreatFabric takođe kaže da se način na koji Vultur pristupa prikupljanju podataka razlikuje od prošlih Android trojanaca. Ne postavlja prozor iznad aplikacije za prikupljanje podataka koje unosite u aplikaciju. Umjesto toga, koristi VNC da snimi ekran i prenese te podatke nazad lošim akterima koji ga vode.
Prema ThreatFabric-u, Vultur radi oslanjajući se u velikoj mjeri na usluge pristupačnosti koje se nalaze na Android uređaju. Kada se malver pokrene, on sakriva ikonu aplikacije, a zatim "zloupotrebljava usluge kako bi dobio sve potrebne dozvole za ispravan rad." ThreatFabric kaže da je ovo slična metoda onoj korištenoj u prethodnom malveru pod nazivom Alien, za koji vjeruje da bi mogao biti povezan sa Vulturom.
Najveća prijetnja koju Vultur donosi je to što snima ekran Android uređaja na kojem je instaliran. Koristeći usluge pristupačnosti, on prati koja aplikacija radi u prvom planu. Ako se ta aplikacija nalazi na Vulturovoj ciljnoj listi, trojanac će početi snimati i uhvatit će sve što je upisano ili uneseno.
Pored toga, istraživači ThreatFabric-a kažu da lešinar ometa tradicionalne metode instaliranja aplikacija. Oni koji pokušavaju ručno deinstalirati aplikaciju mogu otkriti da bot automatski klikne na dugme za povratak kada korisnik dođe do ekrana sa detaljima aplikacije, efektivno ih blokirajući da ne dođu do dugmeta za deinstaliranje.
ArsTechnica napominje da je Google uklonio sve aplikacije Play Store za koje se zna da sadrže Brunhilda dropper, ali je moguće da bi se nove aplikacije mogle pojaviti u budućnosti. Kao takvi, korisnici bi trebali instalirati samo pouzdane aplikacije na svoje Android uređaje. Dok Vultur uglavnom cilja na bankarske aplikacije, poznato je i da evidentira ključne unose za aplikacije kao što su Facebook, WhatsApp i druge aplikacije za društvene mreže.