Tero Vesalainen/Shutterstock.com

Hakkerit keksivät valitettavasti aina uusia fiksuja tapoja varastaa tai käyttää suojattua tietoa. Jotkut äskettäin havaitut Android-haittaohjelmat , nimeltään Vultur, käyttää raakaa uutta menetelmää kirjautumistietojen keräämiseen yli sadalle pankki-ja salausohjelmalle.

Trojan (RAT) etäkäyttöhaittaohjelma, Vultur, sai nimensä Amsterdamissa sijaitsevalta ThreatFabric-tietoturvayritykseltä. Se käyttää todellisen toteutuksen VNC-näytönjakoa laitteen näytön, avainlokin tallentamiseen ja kaiken peilaamiseen hyökkääjän palvelimelle. Käyttäjät tietämättään syöttävät tunnistetietonsa luotettavaksi sovellukseksi, ja hyökkääjät keräävät tiedot, kirjautuvat sovelluksiin erillisellä laitteella ja nostavat rahat.

Tämä näytön tallennusmenetelmä on toisin kuin aiemmat Android-pankkitroijalaiset, jotka käyttivät HTML-peittokuvastrategiaa. Vulture luottaa myös voimakkaasti laitteen käyttöjärjestelmän käyttöapupalvelujen väärinkäyttöön saadakseen tarvittavat käyttöoikeudet, joiden avulla se voi käyttää sitä, mitä se tarvitsee kirjautumistiedon onnistuneen suorittamisen kannalta.

512r/Shutterstock.com

raportti ThreatFabricilta, saimme tietää, että uhkailijat pystyivät keräämään luettelon sovelluksista, joita Vulture kohdisti ja jotka levitettiin Google Play Kaupan kautta. Italiassa, Espanjassa ja Australiassa olivat alueet, joilla oli eniten pankkilaitoksia, joihin Vultur vaikutti. Kohdistettiin myös useita salauslompakkoja.

”Mobiilialustan pankkiuhkat eivät enää perustu pelkästään tunnettuihin peittokonehyökkäyksiin, vaan niistä kehittyy RAT-tyyppisiä haittaohjelmia, jotka perivät hyödyllisiä temppuja, kuten etualalla olevien sovellusten havaitsemisen aloita näytön tallennus ”, ThreatFabricin tutkijat kirjoittivat. ”Tämä tuo uhan uudelle tasolle, sillä tällaiset ominaisuudet avaavat oven laitteessa tapahtuville petoksille ja kiertävät tunnistamisen, joka perustuu tietojenkalasteluun, jotka edellyttävät petoksia uudelta laitteelta. Vulturilla petoksia voi tapahtua uhrin tartunnan saaneella laitteella. Nämä hyökkäykset ovat skaalautuvia ja automatisoituja, koska petoksentekotoiminnot voidaan kirjoittaa haittaohjelmien taustajärjestelmään ja lähettää sekvensoitujen komentojen muodossa. ”

Jos käyttäjä lataa ja avaa yhden Vulture-sovelluksista kohdistamisen jälkeen troijalainen aloittaa näytön tallennusistunnon. Käyttäjät, jotka havaitsevat haittaohjelman ja yrittävät poistaa sen, huomaavat nopeasti, että he eivät voi-haittaohjelman robotti napsauttaa automaattisesti paluupainiketta ja lähettää käyttäjän takaisin pääasetusten näyttöön.

Käyttäjät voivat vain kiinnittää huomiota ilmoituspaneeliin, joka näyttää, että ”Protection Guard”-sovellus heijastaa näyttöä. Jos haluat yksityiskohtaisemman kirjoituksen Vulturista, suosittelemme lukemaan ThreatFabricin raportin . Muussa tapauksessa muista ladata vain luotettavia sovelluksia.

Ars Technica