Neseniai aptikta bankininkystės kenkėjiška programa naudoja naują būdą įrašyti prisijungimo duomenis „Android“įrenginiuose.
Amsterdame įsikūrusi saugos įmonė ThreatFabric kovo mėn. pirmą kartą aptiko naują kenkėjišką programinę įrangą, kurią vadina Vultur. „ArsTechnica“teigimu, „Vultur“atsisako anksčiau įprasto kredencialų fiksavimo būdo ir vietoj to naudoja virtualųjį tinklą (VNC) su nuotolinės prieigos galimybėmis, kad įrašytų ekraną, kai vartotojas įveda savo prisijungimo duomenis į konkrečias programas.
Nors kenkėjiška programa iš pradžių buvo aptikta kovo mėn., ThreatFabric mokslininkai mano, kad jie prijungė ją prie Brunhilda lašintuvo – kenkėjiškų programų lašintuvo, kuris anksčiau buvo naudojamas keliose „Google Play“programose, siekiant platinti kitas banko kenkėjiškas programas.
ThreatFabric taip pat sako, kad „Vultur“metodas renka duomenis skiriasi nuo ankstesnių „Android“Trojos arklių. Virš programos neuždedamas langas duomenims, kuriuos įvedate į programą, rinkti. Vietoj to, jis naudoja VNC, kad įrašytų ekraną ir perduotų tuos duomenis blogiems aktoriams, kurie jį valdo.
Pagal ThreatFabric, „Vultur“veikia labai pasikliaudama pritaikymo neįgaliesiems paslaugomis, esančiomis „Android“įrenginyje. Kai kenkėjiška programa paleidžiama, ji paslepia programos piktogramą ir „piktnaudžiauja paslaugomis, kad gautų visus reikiamus leidimus tinkamai veikti“. „ThreatFabric“teigia, kad tai panašus į metodą, naudotą ankstesnėje kenkėjiškoje programoje „Alien“, kuri, jos nuomone, gali būti prijungta prie „Vultur“.
Didžiausia „Vultur“keliama grėsmė yra ta, kad jis įrašo „Android“įrenginio, kuriame įdiegtas, ekraną. Naudodamas pritaikymo neįgaliesiems paslaugas, jis seka, kokia programa veikia pirmame plane. Jei ši programa yra „Vultur“taikinių sąraše, Trojos arklys pradės įrašinėti ir užfiksuos viską, kas įvesta ar įvesta.
Be to, ThreatFabric tyrinėtojai teigia, kad grifas trukdo tradiciniams programų diegimo būdams. Tie, kurie bando rankiniu būdu pašalinti programą, gali pastebėti, kad robotas automatiškai spustelėja atgal mygtuką, kai naudotojas pasiekia išsamios programos informacijos ekraną, taip veiksmingai užblokuodamas, kad nepasiektų pašalinimo mygtuko.
ArsTechnica pažymi, kad „Google“pašalino visas „Play“parduotuvės programas, kuriose, kaip žinoma, yra „Brunhilda“lašintuvas, tačiau gali būti, kad ateityje gali atsirasti naujų programų. Todėl vartotojai turėtų įdiegti tik patikimas programas savo „Android“įrenginiuose. Nors „Vultur“dažniausiai taikosi banko programoms, taip pat žinoma, kad registruoja pagrindines įvestis tokiose programose kaip „Facebook“, „WhatsApp“ir kitos socialinės žiniasklaidos programos.
