Теро Весалайнен/Shutterstock.com
Хакеры, к сожалению, всегда придумывают новые умные способы украсть или получить доступ к защищенной информации. Некоторые недавно обнаружили вредоносное ПО для Android , получившая название Vultur, использует новый дерзкий метод сбора учетных данных для более чем 100 банковских и криптографических приложений.
Троян для удаленного доступа (RAT), Vultur, получил свое название от находящейся в Амстердаме компании по обеспечению безопасности ThreatFabric.. Он использует реальную реализацию совместного использования экрана VNC для записи экрана устройства, журнала ключей и зеркалирования всего на сервер злоумышленника. Пользователи неосознанно вводят свои учетные данные в приложение, которое они считают доверенным, и злоумышленники затем собирают информацию, входят в приложения на отдельном устройстве и снимают деньги.
Этот метод записи экрана отличается от предыдущих банковских троянцев Android, в которых использовалась стратегия наложения HTML. Vulture также в значительной степени полагается на злоупотребление службами доступности в ОС устройства для получения необходимых разрешений, которые позволят ему получить доступ к тому, что ему нужно для успешного выполнения сбора учетных данных.
в отчет от ThreatFabric, мы узнали, что злоумышленники смогли собрать список приложений, на которые нацелен Vulture, которые были распространены через Google Play Store. Италия, Испания и Австралия были регионами с наибольшим количеством банковских учреждений, затронутых Vultur. Также были затронуты несколько криптокошельков.
«Банковские угрозы на мобильной платформе больше не основываются только на хорошо известных оверлейных атаках, но превращаются в RAT-подобные вредоносные программы, наследуя полезные приемы, такие как обнаружение приложений переднего плана для начать запись экрана »,-написали исследователи ThreatFabric. «Это выводит угрозу на новый уровень, поскольку такие функции открывают дверь для мошенничества на устройстве, обходя обнаружение на основе фишинговых MO, требующих мошенничества, выполняемого с нового устройства. С помощью Vultur мошенничество может происходить на зараженном устройстве жертвы. Эти атаки масштабируемы и автоматизированы, поскольку действия по мошенничеству могут быть запрограммированы на серверной части вредоносного ПО и отправлены в виде упорядоченных команд ».
Если пользователь загружает и открывает одно из приложений, которое Vulture является таргетинг, троянец затем инициирует сеанс записи экрана. Пользователи, которые поймают и попытаются удалить вредоносное приложение, быстро обнаружат, что они не могут этого сделать: бот внутри вредоносной программы автоматически нажимает кнопку «Назад» и отправляет пользователя обратно на главный экран настроек.
Единственное, что нужно пользователям сделать, это обратить внимание на панель уведомлений, которая покажет, что приложение под названием «Protection Guard» проецирует экран. Для более подробного описания Vultur мы рекомендуем прочитать отчет ThreatFabric . В противном случае не забудьте загружать только надежные приложения.
через Ars Technica