Die neueste Bankbetrugs-Malware für Android verwendet eine clevere Taktik, um Zugangsdaten zu stehlen
Tero Vesalainen / Shutterstock.com
Hacker finden leider immer wieder clevere neue Wege, um sichere Informationen zu stehlen oder darauf zuzugreifen. Einige kürzlich entdeckte Android-Malware namens Vultur verwendet eine dreiste neue Methode, um Anmeldeinformationen für über 100 Bank- und Krypto-Apps zu sammeln.
Der Remote-Access-Trojaner (RAT) Malware, Vultur, erhielt seinen Namen von der Amsterdamer Sicherheitsfirma ThreatFabric. Es verwendet eine echte Implementierung der VNC-Bildschirmfreigabe, um den Bildschirm und das Schlüsselprotokoll eines Geräts aufzuzeichnen und alles zurück auf den Server des Angreifers zu spiegeln. Benutzer geben unwissentlich ihre Anmeldeinformationen in eine ihrer Meinung nach vertrauenswürdige App ein, und die Angreifer sammeln dann die Informationen, melden sich auf einem separaten Gerät bei den Apps an und ziehen das Geld ab.
Diese Bildschirmaufzeichnungsmethode unterscheidet sich von früheren Android-Banking-Trojanern, die auf einer HTML-Overlay-Strategie beruhten. Vulture verlässt sich auch stark darauf, die Barrierefreiheitsdienste auf dem Betriebssystem des Geräts zu missbrauchen, um die erforderlichen Berechtigungen zu erhalten, mit denen es auf das zugreifen kann, was es für die erfolgreiche Ausführung der Erfassung von Anmeldeinformationen benötigt.
In dem Bericht von ThreatFabric haben wir erfahren, dass die Bedrohungsakteure eine Liste der Apps sammeln konnten, auf die Vulture abzielte, die über den Google Play Store verbreitet wurden. Italien, Spanien und Australien waren die Regionen mit den meisten von Vultur betroffenen Bankinstituten. Auch mehrere Krypto-Wallets wurden ins Visier genommen.
„Banking-Bedrohungen auf der mobilen Plattform basieren nicht mehr nur auf bekannten Overlay-Angriffen, sondern entwickeln sich zu RAT-ähnlicher Malware, die nützliche Tricks erbt, wie das Erkennen von Vordergrundanwendungen, um die Bildschirmaufzeichnung zu starten”, schrieben die Forscher von ThreatFabric. „Das bringt die Bedrohung mit sich auf eine andere Ebene, da solche Funktionen die Tür für Betrug auf dem Gerät öffnen und die Erkennung basierend auf Phishing-Mos umgehen, die einen Betrug von einem neuen Gerät aus erfordern. Mit Vultur kann Betrug auf dem infizierten Gerät des Opfers geschehen. Diese Angriffe sind skalierbar und automatisiert, da die Aktionen zur Durchführung von Betrug auf dem Malware-Backend skriptgesteuert und in Form von sequenzierten Befehlen gesendet werden können.”
Wenn der Benutzer eine der Anwendungen herunterlädt und öffnet, auf die Vulture abzielt, initiiert der Trojaner die Bildschirmaufzeichnungssitzung. Benutzer, die es bemerken und versuchen, die bösartige App zu löschen, werden schnell feststellen, dass dies nicht möglich ist – ein Bot innerhalb der Malware klickt automatisch auf die Schaltfläche „Zurück” und schickt den Benutzer zurück zum Haupteinstellungsbildschirm.
Der einzige Vorteil, den Benutzer haben, ist, auf das Benachrichtigungsfeld zu achten, das anzeigt, dass eine App namens „Protection Guard” den Bildschirm projiziert. Für eine gründlichere Beschreibung von Vultur empfehlen wir, den Bericht von ThreatFabric durchzulesen. Denken Sie andernfalls daran, nur vertrauenswürdige Apps herunterzuladen.
über Ars Technica