Tero Vesalainen / Shutterstock.com
Niestety, hakerzy zawsze wymyślają nowe, sprytne sposoby kradzieży lub dostępu do bezpiecznych informacji. Niektóre niedawno wykryte złośliwe oprogramowanie na Androida, nazwane Vultur, wykorzystuje bezczelną nową metodę do zbierania danych logowania do ponad 100 aplikacji bankowych i kryptograficznych.
Szkodliwy trojan zdalnego dostępu (RAT), Vultur, otrzymał swoją nazwę od firmy ThreatFabric z siedzibą w Amsterdamie. Używa rzeczywistej implementacji współdzielenia ekranu VNC, aby rejestrować ekran urządzenia, rejestr kluczy i odzwierciedlać wszystko z powrotem na serwerze atakującego. Użytkownicy nieświadomie wprowadzają swoje dane uwierzytelniające do aplikacji, którą uważają za zaufaną, a następnie hakerzy zbierają informacje, logują się do aplikacji na osobnym urządzeniu i wypłacają pieniądze.
Ta metoda nagrywania ekranu różni się od poprzednich trojanów bankowych dla Androida, które opierały się na strategii nakładki HTML. Vulture również w dużym stopniu opiera się na nadużywaniu usług ułatwień dostępu w systemie operacyjnym urządzenia, aby uzyskać niezbędne uprawnienia, które pozwolą mu uzyskać dostęp do tego, czego potrzebuje, aby pomyślnie wykonać zbiór poświadczeń.
Z raportu ThreatFabric dowiedzieliśmy się, że cyberprzestępcy byli w stanie zebrać listę aplikacji, na które atakował Vulture, które były rozpowszechniane za pośrednictwem sklepu Google Play. Włochy, Hiszpania i Australia to regiony, które miały największą liczbę instytucji bankowych dotkniętych przez Vultur. Celem było również kilka portfeli kryptowalutowych.
„Zagrożenia bankowe na platformie mobilnej nie opierają się już tylko na dobrze znanych atakach typu overlay, ale ewoluują w złośliwe oprogramowanie typu RAT, dziedziczące przydatne sztuczki, takie jak wykrywanie aplikacji pierwszoplanowych w celu rozpoczęcia nagrywania ekranu" — napisali badacze ThreatFabric. na inny poziom, ponieważ takie funkcje otwierają drzwi dla oszustw na urządzeniu, omijając wykrywanie oparte na phishingowych metodach działania, które wymagają oszustwa przeprowadzanego z nowego urządzenia.Dzięki Vultur oszustwa mogą wystąpić na zainfekowanym urządzeniu ofiary.Ataki te są skalowalne i zautomatyzowane, ponieważ działania mające na celu dokonanie oszustwa mogą być oskryptowane na backendzie złośliwego oprogramowania i wysłane w formie sekwencyjnych poleceń”.
Jeśli użytkownik pobierze i otworzy jedną z aplikacji, na które atakuje Vulture, trojan inicjuje sesję nagrywania ekranu. Użytkownicy, którzy złapią złośliwą aplikację i spróbują ją usunąć, szybko przekonają się, że nie mogą — bot znajdujący się w złośliwym oprogramowaniu automatycznie klika przycisk Wstecz i odsyła użytkownika z powrotem do głównego ekranu ustawień.
Jedyną nogą, jaką użytkownicy muszą mieć, jest zwrócenie uwagi na panel powiadomień, który pokaże, że aplikacja o nazwie „Ochrona” wyświetla ekran. Aby uzyskać bardziej szczegółowe informacje na temat Vultura, zalecamy zapoznanie się z raportem ThreatFabric. W przeciwnym razie pamiętaj, aby pobierać tylko zaufane aplikacje.
przez Ars Technica