Një malware bankar i zbuluar së fundi përdor një mënyrë të re për të regjistruar kredencialet e hyrjes në pajisjet Android.
ThreatFabric, një firmë sigurie me bazë në Amsterdam, zbuloi për herë të parë malware-in e ri, të cilin e quan Vultur, në mars. Sipas ArsTechnica, Vultur heq dorë nga mënyra standarde e mëparshme e kapjes së kredencialeve dhe në vend të kësaj përdor llogaritjen e rrjetit virtual (VNC) me aftësi të aksesit në distancë për të regjistruar ekranin kur një përdorues fut detajet e tij të hyrjes në aplikacione specifike.
Ndërsa malware u zbulua fillimisht në mars, studiuesit me ThreatFabric besojnë se e kanë lidhur atë me pikatoren Brunhilda, një pikatore malware e përdorur më parë në disa aplikacione të Google Play për të shpërndarë malware të tjerë bankar.
ThreatFabric thotë gjithashtu se mënyra se si i afrohet Vultur mbledhjes së të dhënave është e ndryshme nga trojanët e kaluar të Android. Ai nuk mbivendos një dritare mbi aplikacionin për të mbledhur të dhënat që futni në aplikacion. Në vend të kësaj, ai përdor VNC për të regjistruar ekranin dhe për t'i përcjellë ato të dhëna aktorëve të këqij që e drejtojnë atë.
Sipas ThreatFabric, Vultur funksionon duke u mbështetur shumë në Shërbimet e Aksesueshmërisë që gjenden në pajisjen Android. Kur niset malware, ai fsheh ikonën e aplikacionit dhe më pas "abuzon me shërbimet për të marrë të gjitha lejet e nevojshme për të funksionuar siç duhet". ThreatFabric thotë se kjo është një metodë e ngjashme me atë të përdorur në një malware të mëparshëm të quajtur Alien, i cili beson se mund të lidhet me Vultur.
Kërcënimi më i madh që sjell Vultur është se regjistron ekranin e pajisjes Android ku është instaluar. Duke përdorur Shërbimet e Aksesueshmërisë, ai ruan se çfarë aplikacioni po ekzekutohet në plan të parë. Nëse ai aplikacion është në listën e synuar të Vultur, trojani do të fillojë të regjistrojë dhe do të kapë çdo gjë të shtypur ose të futur.
Për më tepër, studiuesit e ThreatFabric thonë se vulture ndërhyn me metodat tradicionale të instalimit të aplikacioneve. Ata që përpiqen të çinstalojnë manualisht aplikacionin mund të zbulojnë se roboti klikon automatikisht butonin mbrapa kur përdoruesi arrin në ekranin e detajeve të aplikacionit, duke i mbyllur në mënyrë efektive që të mos arrijnë butonin e çinstalimit.
ArsTechnica vëren se Google ka hequr të gjitha aplikacionet e Play Store që dihet se përmbajnë pikatoren Brunhilda, por është e mundur që aplikacione të reja mund të shfaqen në të ardhmen. Si i tillë, përdoruesit duhet të instalojnë vetëm aplikacione të besuara në pajisjet e tyre Android. Ndërsa Vultur synon kryesisht aplikacionet bankare, ai gjithashtu ka qenë i njohur për regjistrimin e hyrjeve kryesore për aplikacione si Facebook, WhatsApp dhe aplikacione të tjera të mediave sociale.
