Nedávno objevený bankovní malware používá nový způsob záznamu přihlašovacích údajů na zařízeních Android.
ThreatFabric, bezpečnostní firma se sídlem v Amsterdamu, poprvé objevila nový malware, který nazývá Vultur, v březnu. Podle ArsTechnica se Vultur vzdává dříve standardního způsobu získávání přihlašovacích údajů a místo toho využívá virtuální síťový výpočet (VNC) se schopností vzdáleného přístupu k záznamu obrazovky, když uživatel zadá své přihlašovací údaje do konkrétních aplikací.
I když byl malware původně objeven v březnu, výzkumníci z ThreatFabric se domnívají, že jej propojili s kapátkem Brunhilda, kapátkem malwaru, který se dříve používal v několika aplikacích Google Play k distribuci jiného bankovního malwaru.
ThreatFabric také říká, že způsob, jakým Vultur přistupuje ke shromažďování dat, se liší od předchozích trojských koní pro Android. Přes aplikaci nepřekrývá okno pro shromažďování dat, která do aplikace zadáte. Místo toho používá VNC k záznamu obrazovky a předává tato data zpět špatným hercům, kteří ji provozují.
Podle ThreatFabric Vultur funguje tak, že se do značné míry spoléhá na služby zpřístupnění, které se nacházejí na zařízení Android. Když je malware spuštěn, skryje ikonu aplikace a poté „zneužije služby k získání všech nezbytných oprávnění ke správnému fungování“. ThreatFabric říká, že se jedná o podobnou metodu jako u předchozího malwaru zvaného Alien, o kterém se domnívá, že by mohl být propojen s Vulturem.
Největší hrozbou, kterou Vultur přináší, je to, že zaznamenává obrazovku zařízení Android, na kterém je nainstalován. Pomocí služeb zpřístupnění sleduje, jaká aplikace běží v popředí. Pokud je tato aplikace na cílovém seznamu Vultur, trojský kůň začne nahrávat a zachytí vše napsané nebo zadané.
Výzkumníci z ThreatFabric navíc tvrdí, že sup zasahuje do tradičních metod instalace aplikací. Ti, kteří se pokoušejí aplikaci ručně odinstalovat, mohou zjistit, že robot automaticky klikne na tlačítko Zpět, když se uživatel dostane na obrazovku s podrobnostmi o aplikaci, čímž je fakticky uzamkne, aby se nedostali na tlačítko odinstalovat.
ArsTechnica poznamenává, že Google odstranil všechny aplikace Obchodu Play, o nichž je známo, že obsahují kapátko Brunhilda, ale je možné, že se v budoucnu objeví nové aplikace. Uživatelé by proto měli do svých zařízení Android instalovat pouze důvěryhodné aplikace. I když se Vultur většinou zaměřuje na bankovní aplikace, je také známo, že protokoluje klíčové vstupy pro aplikace jako Facebook, WhatsApp a další aplikace sociálních médií.
