یک بدافزار بانکی که اخیراً کشف شده است از روش جدیدی برای ضبط اعتبار ورود به سیستم در دستگاههای Android استفاده میکند.
ThreatFabric، یک شرکت امنیتی مستقر در آمستردام، اولین بدافزار جدید را که Vultur نامیده است، در ماه مارس کشف کرد. به گفته ArsTechnica، Vultur از روش استاندارد قبلی برای گرفتن اعتبار صرفنظر می کند و در عوض از محاسبات شبکه مجازی (VNC) با قابلیت دسترسی از راه دور برای ضبط صفحه نمایش زمانی که کاربر جزئیات ورود خود را در برنامه های خاص وارد می کند، استفاده می کند.
در حالی که بدافزار در ابتدا در ماه مارس کشف شد، محققان ThreatFabric معتقدند آن را به قطرهانداز Brunhilda متصل کردهاند، یک قطرهانداز بدافزار که قبلاً در چندین برنامه Google Play برای توزیع بدافزارهای بانکی دیگر استفاده میشد.
ThreatFabric همچنین می گوید که روش Vultur برای جمع آوری داده ها با تروجان های اندروید گذشته متفاوت است. برای جمعآوری دادههایی که وارد برنامه میکنید، پنجرهای روی برنامه قرار نمیدهد. درعوض، از VNC برای ضبط صفحه و انتقال آن دادهها به بازیگران بدی که آن را اجرا میکنند، استفاده میکند.
طبق گفته ThreatFabric، Vultur با تکیه شدید به خدمات دسترسپذیری موجود در دستگاه Android کار میکند. هنگامی که بدافزار راهاندازی میشود، نماد برنامه را پنهان میکند و سپس «از خدمات سوء استفاده میکند تا تمام مجوزهای لازم برای عملکرد صحیح را به دست آورد». ThreatFabric میگوید این روش مشابه روشی است که در بدافزار قبلی به نام Alien استفاده میشد که معتقد است میتوان به Vultur متصل شد.
بزرگترین تهدید Vultur این است که صفحه دستگاه اندرویدی را که روی آن نصب شده ضبط می کند. با استفاده از خدمات دسترسپذیری، برنامههایی که در پیشزمینه اجرا میشوند را پیگیری میکند. اگر آن برنامه در لیست هدف Vultur باشد، تروجان شروع به ضبط میکند و هر چیزی را که تایپ یا وارد شده است ضبط میکند.
علاوه بر این، محققان ThreatFabric می گویند کرکس با روش های سنتی نصب برنامه ها تداخل دارد. کسانی که میخواهند به صورت دستی برنامه را حذف نصب کنند، ممکن است متوجه شوند که ربات وقتی کاربر به صفحه جزئیات برنامه میرسد، بهطور خودکار روی دکمه برگشت کلیک میکند و عملاً دسترسی آنها به دکمه حذف را قفل میکند.
ArsTechnica خاطرنشان می کند که Google تمام برنامه های فروشگاه Play را که حاوی قطره چکان Brunhilda هستند حذف کرده است، اما ممکن است برنامه های جدیدی در آینده ظاهر شوند. به این ترتیب، کاربران فقط باید برنامه های قابل اعتماد را روی دستگاه های اندرویدی خود نصب کنند. در حالی که Vultur بیشتر برنامه های بانکی را هدف قرار می دهد، همچنین شناخته شده است که ورودی های کلیدی برنامه هایی مانند Facebook، WhatsApp و سایر برنامه های رسانه های اجتماعی را ثبت می کند.
