Uusim Androidi pangapettuste pahavara kasutab volikirjade varastamiseks nutikat taktikat
Tero Vesalainen / Shutterstock.com
Kahjuks mõtlevad häkkerid alati välja nutikaid uusi viise turvalise teabe varastamiseks või sellele juurde pääsemiseks. Mõni hiljuti tuvastatud Androidi pahavara, nimega Vultur, kasutab rohkem kui 100 panga- ja krüptorakenduse jaoks sisselogimismandaatide kogumiseks uut jultunud meetodit.
Kaugjuurdepääsuga Trooja (RAT) pahavara Vultur sai oma nime Amsterdamis asuva turvafirma ThreatFabricu järgi. See kasutab tegelikku VNC-ekraani jagamist, et salvestada seadme ekraan, klahvilogi ja peegeldada kõike tagasi ründaja serverisse. Kasutajad sisestavad teadmatult oma mandaadid nende arvates usaldusväärsesse rakendusse ja seejärel koguvad ründajad teabe, logivad rakendustesse sisse eraldi seadmes ja võtavad raha välja.
See ekraanisalvestusmeetod erineb varasematest Androidi pangandustroojalastest, mis põhinesid HTML-i ülekattestrateegial. Vulture sõltub suuresti ka seadme OS-i juurdepääsetavuse teenuste kuritarvitamisest, et hankida vajalikud load, mis võimaldavad tal pääseda juurde mandaatide kogumise edukaks teostamiseks.
ThreatFabricu aruandest saime teada, et ohus osalejad suutsid koguda loendi rakendustest, mida Vulture sihis ja mida levitati Google Play poe kaudu. Itaalia, Hispaania ja Austraalia olid piirkonnad, kus Vultur mõjutas kõige rohkem pangaasutusi. Sihtmärgiks olid ka mitmed krüptorahakotid.
"Mobiiliplatvormi pangandusohud ei põhine enam ainult tuntud ülekatterünnakutel, vaid arenevad RAT-laadseks pahavaraks, mis pärib kasulikke nippe, nagu esiplaani rakenduste tuvastamine ekraani salvestamise alustamiseks," kirjutasid ThreatFabrici teadlased. "See toob kaasa ohu. teisele tasemele, kuna sellised funktsioonid avavad ukse seadmesisestele pettustele, vältides tuvastamist andmepüügi MO-del, mis nõuavad pettust uuest seadmest. Vulturiga võib pettus juhtuda ohvri nakatunud seadmes. Need rünnakud on skaleeritavad ja automatiseeritud, kuna pettuse sooritamise toimingud saab pahavara taustaprogrammis skriptida ja saata järjestatud käskude kujul.
Kui kasutaja laadib alla ja avab mõne rakenduse, mida Vulture sihib, käivitab troojalane ekraani salvestamise seansi. Pahatahtliku rakenduse tabavad ja kustutada proovivad kasutajad saavad kiiresti aru, et nad ei saa – pahavara sees olev robot klõpsab automaatselt tagasinupul ja saadab kasutaja tagasi põhiseadete ekraanile.
Kasutajate ainus võimalus on pöörata tähelepanu teavituspaneelile, mis näitab, et rakendus nimega "Protection Guard" projitseerib ekraani. Vulturi kohta põhjalikuma ülevaate saamiseks soovitame lugeda ThreatFabrici aruannet. Muul juhul ärge unustage alla laadida ainult usaldusväärseid rakendusi.
Ars Technica kaudu