Nesen atklātā banku ļaunprātīgā programmatūra izmanto jaunu veidu, kā reģistrēt pieteikšanās akreditācijas datus Android ierīcēs.
ThreatFabric, Amsterdamas drošības firma, pirmo reizi martā atklāja jauno ļaunprogrammatūru, ko tā sauc par Vultur. Saskaņā ar ArsTechnica teikto, Vultur atsakās no iepriekš standarta akreditācijas datu iegūšanas veida un tā vietā izmanto virtuālā tīkla skaitļošanu (VNC) ar attālās piekļuves iespējām, lai ierakstītu ekrānu, kad lietotājs ievada savu pieteikšanās informāciju noteiktās lietojumprogrammās.
Kamēr ļaunprogrammatūra sākotnēji tika atklāta martā, ThreatFabric pētnieki uzskata, ka viņi to ir savienojuši ar Brunhilda pilinātāju - ļaunprātīgas programmatūras pilinātāju, kas iepriekš tika izmantots vairākās Google Play lietotnēs, lai izplatītu citu banku ļaunprātīgu programmatūru.
ThreatFabric arī saka, ka veids, kā Vultur vāc datus, atšķiras no iepriekšējiem Android Trojas zirgiem. Tas neuzliek logu virs lietojumprogrammas, lai apkopotu lietotnē ievadītos datus. Tā vietā tas izmanto VNC, lai ierakstītu ekrānu un nosūtītu šos datus atpakaļ sliktajiem dalībniekiem, kas to vada.
Saskaņā ar ThreatFabric, Vultur darbojas, lielā mērā paļaujoties uz pieejamības pakalpojumiem, kas atrodami Android ierīcē. Kad ļaunprogrammatūra tiek palaista, tā paslēpj lietotnes ikonu un pēc tam "ļaunprātīgi izmanto pakalpojumus, lai iegūtu visas nepieciešamās atļaujas pareizai darbībai". ThreatFabric saka, ka šī ir līdzīga metode tai, kas tika izmantota iepriekšējā ļaunprātīgā programmatūrā ar nosaukumu Alien, kas, pēc tās domām, varētu būt saistīta ar Vultur.
Lielākais drauds, ko rada Vultur, ir tas, ka tas ieraksta tās Android ierīces ekrānu, kurā tā ir instalēta. Izmantojot pieejamības pakalpojumus, tas seko priekšplānā esošajai lietojumprogrammai. Ja šī lietojumprogramma ir Vultur mērķa sarakstā, Trojas zirgs sāks ierakstīšanu un tver visu, kas ierakstīts vai ievadīts.
Turklāt ThreatFabric pētnieki apgalvo, ka grifs traucē tradicionālajām lietotņu instalēšanas metodēm. Tie, kas mēģina manuāli atinstalēt lietojumprogrammu, var konstatēt, ka robots automātiski noklikšķina uz pogas Atpakaļ, kad lietotājs sasniedz lietotnes informācijas ekrānu, tādējādi efektīvi bloķējot iespēju piekļūt atinstalēšanas pogai.
ArsTechnica atzīmē, ka Google ir noņēmis visas Play veikala lietotnes, kurās ir zināms Brunhilda pilinātājs, taču iespējams, ka nākotnē varētu parādīties jaunas lietotnes. Tādējādi lietotājiem savās Android ierīcēs ir jāinstalē tikai uzticamas lietotnes. Lai gan Vultur galvenokārt ir paredzēts banku lietojumprogrammām, ir zināms arī, ka tiek reģistrēti galvenie ievades dati tādām lietojumprogrammām kā Facebook, WhatsApp un citām sociālo mediju lietotnēm.
