Недавно обнаруженная вредоносная программа для банков использует новый способ записи учетных данных для входа на устройства Android.
ThreatFabric, охранная фирма из Амстердама, впервые обнаружила новую вредоносную программу, которую она назвала Vultur, в марте. Согласно ArsTechnica, Vultur отказывается от ранее стандартного способа сбора учетных данных и вместо этого использует виртуальные сетевые вычисления (VNC) с возможностями удаленного доступа для записи экрана, когда пользователь вводит свои данные для входа в определенные приложения.
Хотя это вредоносное ПО было первоначально обнаружено в марте, исследователи из ThreatFabric полагают, что они связали его с дроппером Brunhilda, который ранее использовался в нескольких приложениях Google Play для распространения других банковских вредоносных программ.
ThreatFabric также говорит, что подход Vultur к сбору данных отличается от предыдущих троянов для Android. Он не накладывает окно на приложение для сбора данных, которые вы вводите в приложение. Вместо этого он использует VNC для записи экрана и передачи этих данных злоумышленникам, которые его запускают.
Согласно ThreatFabric, Vultur работает, в значительной степени полагаясь на службы специальных возможностей, имеющиеся на устройстве Android. Когда вредоносная программа запускается, она скрывает значок приложения, а затем «злоупотребляет услугами, чтобы получить все необходимые разрешения для правильной работы». ThreatFabric говорит, что этот метод аналогичен тому, который использовался в предыдущей вредоносной программе под названием Alien, которая, по ее мнению, может быть связана с Vultur..
Самая большая угроза, которую несет Vultur, заключается в том, что он записывает экран Android-устройства, на котором он установлен. Используя службы специальных возможностей, он отслеживает, какое приложение работает на переднем плане. Если это приложение находится в списке целей Vultur, троян начнет запись и перехватит все, что набирается или вводится.
Кроме того, исследователи ThreatFabric говорят, что Vulture мешает традиционным методам установки приложений. Те, кто пытается удалить приложение вручную, могут обнаружить, что бот автоматически нажимает кнопку «Назад», когда пользователь достигает экрана сведений о приложении, эффективно блокируя доступ к кнопке удаления.
ArsTechnica отмечает, что Google удалил все приложения из Play Store, которые, как известно, содержат дроппер Brunhilda, но, возможно, в будущем появятся новые приложения. Таким образом, пользователи должны устанавливать только доверенные приложения на свои устройства Android. Хотя Vultur в основном нацелен на банковские приложения, также известно, что он регистрирует ключевые входные данные для таких приложений, как Facebook, WhatsApp и других приложений для социальных сетей.
