Thật không may, tin tặc luôn nghĩ ra những cách mới thông minh để lấy cắp hoặc truy cập thông tin an toàn. Một số gần đây đã phát hiện phần mềm độc hại trên Android , có tên là Vultur, đang sử dụng một phương pháp mới trơ trẽn để thu thập thông tin đăng nhập cho hơn 100 ứng dụng ngân hàng và tiền điện tử.
Phần mềm độc hại Trojan (RAT) truy cập từ xa, Vultur, đã lấy tên nó từ công ty bảo mật ThreatFnai có trụ sở tại Amsterdam. Nó sử dụng chia sẻ màn hình VNC triển khai thực tế để ghi lại màn hình của thiết bị, nhật ký khóa và phản chiếu mọi thứ trở lại máy chủ của kẻ tấn công. Người dùng vô tình nhập thông tin đăng nhập của họ vào những gì họ cho là ứng dụng đáng tin cậy và những kẻ tấn công sau đó thu thập thông tin, đăng nhập vào các ứng dụng trên một thiết bị riêng biệt và rút tiền.
Phương pháp ghi màn hình này không giống như các Trojan ngân hàng Android trước đây, dựa trên chiến lược lớp phủ HTML. Vulture cũng chủ yếu dựa vào việc lạm dụng các dịch vụ trợ năng trên hệ điều hành của thiết bị để có được các quyền cần thiết cho phép thiết bị truy cập những gì cần thiết để thực hiện thu thập thông tin xác thực thành công.
Trong báo cáo từ ThreatFainst, chúng tôi được biết rằng các tác nhân đe dọa có thể thu thập danh sách các ứng dụng mà Vulture đang nhắm mục tiêu, được lan truyền thông qua Cửa hàng Google Play. Ý, Tây Ban Nha và Úc là những khu vực có số lượng tổ chức ngân hàng bị ảnh hưởng bởi Vultur cao nhất. Một số ví tiền điện tử cũng đã được nhắm mục tiêu.
“Các mối đe dọa ngân hàng trên nền tảng di động không còn chỉ dựa trên các cuộc tấn công lớp phủ nổi tiếng nữa mà đang phát triển thành phần mềm độc hại giống RAT, kế thừa các thủ thuật hữu ích như phát hiện các ứng dụng nền để bắt đầu quay màn hình,” các nhà nghiên cứu của ThreatFnai viết. “Điều này đưa mối đe dọa lên một cấp độ khác, vì các tính năng như vậy mở ra cánh cửa cho gian lận trên thiết bị, phá vỡ khả năng phát hiện dựa trên MO’s lừa đảo yêu cầu gian lận được thực hiện từ một thiết bị mới. Với Vultur, gian lận có thể xảy ra trên thiết bị bị nhiễm của nạn nhân. Các cuộc tấn công này có thể mở rộng và tự động vì các hành động để thực hiện gian lận có thể được viết theo kịch bản trên phần mềm phụ trợ phần mềm độc hại và được gửi dưới dạng các lệnh theo trình tự. ”
Nếu người dùng tải xuống và mở một trong các ứng dụng mà Vulture đang nhắm mục tiêu, thì Trojan sẽ bắt đầu phiên quay màn hình. Người dùng bắt gặp và cố gắng xóa ứng dụng độc hại sẽ nhanh chóng phát hiện ra rằng họ không thể — một bot bên trong phần mềm độc hại sẽ tự động nhấp vào nút quay lại và đưa người dùng quay lại màn hình cài đặt chính.
Việc duy nhất mà người dùng có là chú ý đến bảng thông báo, bảng này sẽ hiển thị rằng một ứng dụng có tên “Bảo vệ bảo vệ” đang chiếu lên màn hình. Để có bản viết chi tiết kỹ lưỡng hơn về Vultur, chúng tôi khuyên bạn nên đọc qua báo cáo của ThreatF Fabric . Nếu không, hãy nhớ chỉ tải xuống các ứng dụng đáng tin cậy.
qua Ars Technica
