Äskettäin löydetty pankkihaittaohjelma käyttää uutta tapaa tallentaa kirjautumistiedot Android-laitteissa.
ThreatFabric, Amsterdamissa toimiva turvayritys, löysi ensimmäisen kerran uuden haittaohjelman, jota se kutsuu nimellä Vultur, maaliskuussa. ArsTechnican mukaan Vultur luopuu aiemmin tavanomaisesta tunnistetietojen kaappaustavasta ja käyttää sen sijaan virtuaalista verkkolaskentaa (VNC) etäkäyttömahdollisuuksilla tallentaakseen näytön, kun käyttäjä syöttää kirjautumistietonsa tiettyihin sovelluksiin.
Vaikka haittaohjelma löydettiin alun perin maaliskuussa, ThreatFabricin tutkijat uskovat yhdistäneensä sen Brunhilda dropperiin, haittaohjelmien dropperiin, jota on aiemmin käytetty useissa Google Play -sovelluksissa muiden pankkihaittaohjelmien levittämiseen.
ThreatFabric sanoo myös, että tapa, jolla Vultur lähestyy tietojen keräämistä, eroaa aiemmista Android-troijalaisista. Se ei aseta sovelluksen päälle ikkunaa sovellukseen syöttämiesi tietojen keräämistä varten. Sen sijaan se käyttää VNC:tä näytön tallentamiseen ja välittää tiedot takaisin sitä käyttäville huonoille toimijoille.
ThreatFabricin mukaan Vultur toimii voimakkaasti tukeutumalla Android-laitteelta löytyviin esteettömyyspalveluihin. Kun haittaohjelma käynnistetään, se piilottaa sovelluskuvakkeen ja "käyttää palveluita väärin saadakseen kaikki tarvittavat luvat toimiakseen oikein". ThreatFabricin mukaan tämä on samanlainen menetelmä kuin aikaisemmassa Alien-nimisessä haittaohjelmassa, jonka se uskoo olevan yhteydessä Vulturiin.
Vulturin suurin uhka on se, että se tallentaa sen Android-laitteen näytön, johon se on asennettu. Esteettömyyspalveluiden avulla se seuraa, mikä sovellus on käynnissä etualalla. Jos kyseinen sovellus on Vulturin kohdeluettelossa, troijalainen aloittaa tallennuksen ja kaappaa kaiken kirjoitetun tai syötetyn.
Lisäksi ThreatFabricin tutkijat sanovat, että korppikotka häiritsee perinteisiä sovellusten asennusmenetelmiä. Ne, jotka yrittävät poistaa sovelluksen manuaalisesti, saattavat huomata, että robotti napsauttaa automaattisesti Takaisin-painiketta, kun käyttäjä saapuu sovelluksen tietonäytölle, mikä estää heitä pääsemästä poistopainikkeeseen.
ArsTechnica huomauttaa, että Google on poistanut kaikki Play Kaupan sovellukset, joiden tiedetään sisältävän Brunhilda dropperin, mutta on mahdollista, että uusia sovelluksia ilmestyy tulevaisuudessa. Sellaisenaan käyttäjien tulee asentaa vain luotettuja sovelluksia Android-laitteilleen. Vaikka Vultur kohdistaa enimmäkseen pankkisovelluksia, sen tiedetään myös kirjaavan avainsyötteitä sovelluksille, kuten Facebookille, WhatsAppille ja muille sosiaalisen median sovelluksille.