En nyligt opdaget bank-malware bruger en ny måde at registrere loginoplysninger på Android-enheder.
ThreatFabric, et sikkerhedsfirma med base i Amsterdam, opdagede først den nye malware, som den kalder Vultur, i marts. Ifølge ArsTechnica giver Vultur afkald på den tidligere standardmåde at indhente legitimationsoplysninger og bruger i stedet virtuel netværksdatabehandling (VNC) med fjernadgangsevner til at optage skærmen, når en bruger indtaster deres loginoplysninger i specifikke applikationer.
Mens malwaren oprindeligt blev opdaget i marts, mener forskere med ThreatFabric, at de har forbundet den med Brunhilda-dropperen, en malware-dropper, der tidligere blev brugt i flere Google Play-apps til at distribuere anden bank-malware.
ThreatFabric siger også, at den måde, Vultur nærmer sig indsamling af data på, er forskellig fra tidligere Android-trojanske heste. Det lægger ikke et vindue over applikationen for at indsamle de data, du indtaster i appen. I stedet bruger den VNC til at optage skærmen og videresende disse data tilbage til de dårlige skuespillere, der kører den.
Ifølge ThreatFabric fungerer Vultur ved at være stærkt afhængig af tilgængelighedstjenester, der findes på Android-enheden. Når malwaren startes, skjuler den appikonet og "misbruger derefter tjenesterne for at få alle de nødvendige tilladelser til at fungere korrekt." ThreatFabric siger, at dette er en lignende metode som den, der blev brugt i en tidligere malware kaldet Alien, som den mener kunne være forbundet med Vultur.
Den største trussel Vultur bringer er, at den optager skærmen på den Android-enhed, den er installeret på. Ved at bruge tilgængelighedstjenesterne holder den styr på, hvilken applikation der kører i forgrunden. Hvis denne applikation er på Vulturs målliste, vil trojaneren begynde at optage og fange alt, der er skrevet eller indtastet.
Derudover siger ThreatFabric-forskere, at gribben forstyrrer traditionelle metoder til at installere apps. De, der forsøger at afinstallere applikationen manuelt, kan finde ud af, at botten automatisk klikker på tilbage-knappen, når brugeren kommer til skærmen med appdetaljer, hvilket effektivt låser dem ude af at nå afinstallationsknappen.
ArsTechnica bemærker, at Google har fjernet alle Play Butik-apps, der vides at indeholde Brunhilda-dropperen, men det er muligt, at nye apps kan dukke op i fremtiden. Som sådan bør brugere kun installere betroede apps på deres Android-enheder. Mens Vultur hovedsageligt er rettet mod bankapplikationer, har det også været kendt at logge nøgleinput til applikationer som Facebook, WhatsApp og andre sociale medieapps.