Tero Vesalainen/Shutterstock.com
Hacker lassen sich leider immer neue clevere Wege einfallen, um sichere Informationen zu stehlen oder darauf zuzugreifen. Einige Kürzlich erkannte Android-Malware , genannt Vultur, verwendet eine dreiste neue Methode, um Anmeldeinformationen für über 100 Banking-und Krypto-Apps zu sammeln.
Die Malware Vultur für den Fernzugriff (RAT) erhielt ihren Namen von der Amsterdamer Sicherheitsfirma ThreatFabric. Es verwendet eine echte VNC-Bildschirmfreigabe, um den Bildschirm eines Geräts, das Schlüsselprotokoll aufzuzeichnen und alles zurück auf den Server des Angreifers zu spiegeln. Benutzer geben ihre Zugangsdaten unwissentlich in eine ihrer Meinung nach vertrauenswürdige App ein, und die Angreifer sammeln dann die Informationen, melden sich auf einem separaten Gerät bei den Apps an und heben das Geld ab.
Diese Bildschirmaufzeichnungsmethode unterscheidet sich von früheren Android-Banking-Trojanern, die auf einer HTML-Overlay-Strategie beruhten. Vulture verlässt sich auch stark darauf, die Barrierefreiheitsdienste des Betriebssystems des Geräts zu missbrauchen, um die erforderlichen Berechtigungen zu erhalten, die es ihm ermöglichen, auf das zuzugreifen, was es benötigt, um die Anmeldeinformationen erfolgreich auszuführen.
In der Bericht von ThreatFabric haben wir erfahren, dass die Bedrohungsakteure eine Liste der Apps sammeln konnten, auf die Vulture abzielte und die über den Google Play Store verbreitet wurden. Italien, Spanien und Australien waren die Regionen, in denen die meisten Bankinstitute von Vultur betroffen waren. Mehrere Krypto-Wallets wurden ebenfalls ins Visier genommen.
„Banking-Bedrohungen auf der mobilen Plattform basieren nicht mehr nur auf bekannten Overlay-Angriffen, sondern entwickeln sich zu RAT-ähnlicher Malware, die nützliche Tricks wie das Erkennen von Vordergrundanwendungen erbt, um Bildschirmaufzeichnung starten“, schrieben die Forscher von ThreatFabric. „Dies bringt die Bedrohung auf eine andere Ebene, da solche Funktionen die Tür für Betrug auf dem Gerät öffnen und die Erkennung basierend auf Phishing-MOs umgehen, die einen Betrug von einem neuen Gerät aus erfordern. Mit Vultur kann Betrug auf dem infizierten Gerät des Opfers passieren. Diese Angriffe sind skalierbar und automatisiert, da die Betrugsaktionen auf dem Malware-Back-End geskriptet und in Form von aufeinander folgenden Befehlen gesendet werden können.“
Wenn der Benutzer eine der Anwendungen herunterlädt und öffnet, die Vulture ist Targeting initiiert der Trojaner dann die Bildschirmaufzeichnungssitzung. Benutzer, die sich anstecken und versuchen, die bösartige App zu löschen, werden schnell feststellen, dass dies nicht möglich ist – ein Bot innerhalb der Malware klickt automatisch auf die Zurück-Schaltfläche und schickt den Benutzer zurück zum Haupteinstellungsbildschirm.
Die einzige Möglichkeit für Benutzer besteht darin, auf das Benachrichtigungsfeld zu achten, das anzeigt, dass eine App namens „Protection Guard“ den Bildschirm projiziert. Für eine ausführlichere Beschreibung von Vultur empfehlen wir, den Bericht von ThreatFabric zu lesen. Denken Sie andernfalls daran, nur vertrauenswürdige Apps herunterzuladen.
über Ars Technica
