Hacker met mobiele telefoon met codetekst-overlay
Tero Vesalainen/Shutterstock.com

Hackers komen helaas altijd met slimme nieuwe manieren om beveiligde informatie te stelen of te openen. Sommige recentelijk gedetecteerde Android-malware, genaamd Vultur, gebruikt een brutale nieuwe methode om inloggegevens te verzamelen voor meer dan 100 bank-en crypto-apps.

De Remote Access Trojan (RAT) malware, Vultur, dankt zijn naam aan het Amsterdamse beveiligingsbedrijf ThreatFabric. Het maakt gebruik van een echte implementatie VNC-schermdeling om het scherm van een apparaat op te nemen, het sleutellogboek en alles terug te spiegelen naar de server van de aanvaller. Gebruikers voeren onbewust hun inloggegevens in wat volgens hen een vertrouwde app is en de aanvallers verzamelen vervolgens de informatie, loggen in op de apps op een apart apparaat en nemen het geld op.

Deze schermopnamemethode is anders dan eerdere trojans voor Android-bankieren, die vertrouwden op een HTML-overlaystrategie. Vulture vertrouwt ook sterk op het misbruiken van de toegankelijkheidsservices op het besturingssysteem van het apparaat om de benodigde machtigingen te verkrijgen die het toegang geven tot wat het nodig heeft om de inloggegevens succesvol uit te voeren.

Bescherming van informatie op mobiele apparaten, hacken van mobiele apparaten door hackers
512r/Shutterstock.com

In het rapport van ThreatFabric hebben we vernomen dat de dreigingsactoren een lijst konden verzamelen van de apps waarop Vulture zich richtte, die via de Google Play Store werden verspreid. Italië, Spanje en Australië waren de regio’s met het hoogste aantal bankinstellingen die door Vultur werden getroffen. Verschillende crypto-wallets werden ook getarget.

“Bankbedreigingen op het mobiele platform zijn niet langer alleen gebaseerd op bekende overlay-aanvallen, maar evolueren naar RAT-achtige malware, die handige trucs overerft, zoals het detecteren van voorgrondapplicaties om schermopname te starten”, schreven de onderzoekers van ThreatFabric..”Dit brengt de dreiging naar een ander niveau, omdat dergelijke functies de deur openen voor fraude op het apparaat, en detectie omzeilen op basis van phishing-MO’s die fraude vereisen die wordt uitgevoerd vanaf een nieuw apparaat. Met Vultur kan fraude plaatsvinden op het geïnfecteerde apparaat van het slachtoffer. Deze aanvallen zijn schaalbaar en geautomatiseerd, aangezien de acties om fraude uit te voeren kunnen worden gescript op de malware-backend en verzonden in de vorm van opeenvolgende opdrachten.”

Als de gebruiker een van de toepassingen downloadt en opent waarop Vulture zich richt, start de Trojan vervolgens de schermopnamesessie. Gebruikers die de kwaadaardige app aanslaan en proberen te verwijderen, zullen snel ontdekken dat ze dat niet kunnen: een bot in de malware klikt automatisch op de terugknop en stuurt de gebruiker terug naar het hoofdinstellingenscherm.

Het enige voordeel dat gebruikers hebben, is aandacht te schenken aan het meldingenpaneel, dat laat zien dat een app met de naam”Protection Guard”het scherm projecteert. Voor een meer gedetailleerde beschrijving van Vultur raden we aan om het ThreatFabric-rapport te lezen . Vergeet anders niet alleen vertrouwde apps te downloaden.

via Ars Technica