Uusin Android-pankkipetoshaittaohjelma varastaa valtuustiedot älykkäällä takilla
Tero Vesalainen/Shutterstock.com
Hakkerit keksivät valitettavasti aina uusia älykkäitä tapoja varastaa tai päästä käsiksi suojattuun tietoon. Jotkut äskettäin havaitut Android-haittaohjelmat, nimeltään Vultur, käyttävät röyhkeätä uutta menetelmää yli 100 pankki- ja kryptosovelluksen kirjautumistietojen keräämiseen.
Etäkäyttö Trojan (RAT) -haittaohjelma Vultur on saanut nimensä amsterdamilaiselta tietoturvayritykseltä ThreatFabricilta. Se käyttää todellista toteutusta VNC-näytönjakoa tallentaakseen laitteen näytön, avainlokin ja peilatakseen kaiken takaisin hyökkääjän palvelimelle. Käyttäjät syöttävät tietämättään valtuustietonsa luotettuun sovellukseen, jonka jälkeen hyökkääjät keräävät tiedot, kirjautuvat sovelluksiin erillisellä laitteella ja nostavat rahat.
Tämä näytön tallennusmenetelmä eroaa aiemmista Android-pankkitroijalaisista, jotka luottivat HTML-peittostrategiaan. Vulture on myös vahvasti riippuvainen laitteen käyttöjärjestelmän esteettömyyspalveluiden väärinkäytöstä saadakseen tarvittavat käyttöoikeudet, joiden avulla se voi käyttää sitä, mitä se tarvitsee suorittaakseen tunnistetietojen keräämisen onnistuneesti.
ThreatFabricin raportista saimme tietää, että uhkatoimijat pystyivät keräämään luettelon sovelluksista, joihin Vulture oli kohdistanut ja jotka levitettiin Google Play Kaupan kautta. Italia, Espanja ja Australia olivat alueita, joilla Vultur vaikutti eniten pankkeihin. Kohteena oli myös useita kryptolompakoita.
"Pankkiuhat mobiilialustalla eivät enää perustu vain tunnettuihin peittohyökkäyksiin, vaan ne kehittyvät RAT-tyyppisiksi haittaohjelmiksi, jotka perivät hyödyllisiä temppuja, kuten etualan sovellusten havaitsemisen näytön tallennuksen aloittamiseksi", ThreatFabricin tutkijat kirjoittivat. "Tämä tuo uhan. toiselle tasolle, koska tällaiset ominaisuudet avaavat oven laitteissa tapahtuville petoksille, jotka kiertävät havaitsemisen, joka perustuu tietojenkalasteluoperaatioihin, jotka edellyttävät petoksia uudelta laitteelta. Vulturilla voi tapahtua petoksia uhrin tartunnan saaneelle laitteelle. Nämä hyökkäykset ovat skaalautuvia ja automatisoitu, koska petoksia koskevat toiminnot voidaan skriptaa haittaohjelmien taustalla ja lähettää sekvensoitujen komentojen muodossa."
Jos käyttäjä lataa ja avaa jonkin Vulturen kohteena olevista sovelluksista, troijalainen aloittaa sitten näytön tallennusistunnon. Käyttäjät, jotka saavat kiinni ja yrittävät poistaa haitallisen sovelluksen, huomaavat nopeasti, etteivät he pysty – haittaohjelman sisällä oleva botti napsauttaa automaattisesti Takaisin-painiketta ja lähettää käyttäjän takaisin pääasetusnäyttöön.
Ainoa jalka ylös käyttäjillä on kiinnittää huomiota ilmoituspaneeliin, joka näyttää, että "Protection Guard" -sovellus heijastaa näyttöä. Suosittelemme lukemaan ThreatFabricin raportin, jos haluat Vulturista yksityiskohtaisemman kirjoituksen. Muussa tapauksessa muista ladata vain luotettavia sovelluksia.
Ars Technican kautta