Теро Весалайнен / Shutterstock.com
Хакери, на жаль, завжди придумують нові розумні способи вкрасти або отримати доступ до захищеної інформації. Деякі нещодавно виявлені шкідливі програми Android, які отримали назву Vultur, використовують новий нахабний метод для збору облікових даних для більш ніж 100 банківських і криптовалютних програм.
Зловмисне програмне забезпечення віддаленого доступу (RAT), Vultur, отримав свою назву від амстердамської фірми з безпеки ThreatFabric. Він використовує реальну реалізацію спільного доступу до екрана VNC для запису екрана пристрою, журналу ключів і віддзеркалення всього назад на сервер зловмисника. Користувачі несвідомо вводять свої облікові дані в програму, яку вони вважають надійною, а потім зловмисники збирають інформацію, входять у програми на окремому пристрої та знімають гроші.
Цей метод запису екрана відрізняється від попередніх банківських троянів Android, які покладалися на стратегію накладання HTML. Vulture також в значній мірі покладається на зловживання службами доступності в ОС пристрою, щоб отримати необхідні дозволи, які нададуть йому доступ до того, що йому потрібно для успішного збору облікових даних.
У звіті ThreatFabric ми дізналися, що учасники загроз змогли зібрати список додатків, на які націлювався Vulture, які поширювалися через Google Play Store. Італія, Іспанія та Австралія були регіонами з найбільшою кількістю банківських установ, постраждалих від Vultur. Також були націлені на кілька криптовалютних гаманців.
«Банківські загрози на мобільній платформі більше не базуються лише на відомих атаках накладання, але й перетворюються на зловмисне програмне забезпечення, подібне до RAT, успадковуючи корисні трюки, як-от виявлення передніх програм для початку запису екрана», — пишуть дослідники ThreatFabric. «Це створює загрозу. на інший рівень, оскільки такі функції відкривають двері для шахрайства на пристрої, обходячи виявлення на основі фішингових МО, які вимагають шахрайства з нового пристрою. З Vultur шахрайство може статися на зараженому пристрої жертви. Ці атаки масштабуються та автоматизовано, оскільки дії для здійснення шахрайства можуть бути скриптовані на серверній частині шкідливого програмного забезпечення та надіслані у вигляді послідовних команд».
Якщо користувач завантажує та відкриває одну з програм, на які націлений Vulture, троян починає сеанс запису екрана. Користувачі, які вловлюють і намагаються видалити шкідливий додаток, швидко дізнаються, що вони не можуть — бот у шкідливому програмному забезпеченні автоматично натискає кнопку «Назад» і повертає користувача на головний екран налаштувань.
Єдина підтримка користувачів — це звернути увагу на панель сповіщень, яка показує, що програма під назвою «Protection Guard» проектує екран. Щоб отримати більш детальну інформацію про Vultur, рекомендуємо ознайомитися зі звітом ThreatFabric. В іншому випадку не забувайте завантажувати лише надійні програми.
через Ars Technica