Een recent ontdekte malware voor het bankwezen gebruikt een nieuwe manier om inloggegevens op Android-apparaten vast te leggen.
ThreatFabric, een beveiligingsbedrijf gevestigd in Amsterdam, ontdekte in maart voor het eerst de nieuwe malware, die het Vultur noemt. Volgens ArsTechnica ziet Vultur af van de voorheen standaard manier om inloggegevens vast te leggen en gebruikt in plaats daarvan virtual network computing (VNC) met mogelijkheden voor externe toegang om het scherm op te nemen wanneer een gebruiker zijn inloggegevens invoert in specifieke applicaties.
Hoewel de malware oorspronkelijk in maart werd ontdekt, denken onderzoekers van ThreatFabric dat ze deze hebben verbonden met de Brunhilda-dropper, een malware-dropper die eerder in verschillende Google Play-apps werd gebruikt om andere bankmalware te verspreiden.
ThreatFabric zegt ook dat de manier waarop Vultur het verzamelen van gegevens benadert, verschilt van eerdere Android-trojans. Er wordt geen venster over de toepassing geplaatst om de gegevens te verzamelen die u in de app invoert. In plaats daarvan gebruikt het VNC om het scherm op te nemen en die gegevens terug te sturen naar de slechte acteurs die het uitvoeren.
Volgens ThreatFabric werkt Vultur door sterk te vertrouwen op toegankelijkheidsservices op het Android-apparaat. Wanneer de malware wordt gestart, verbergt het het app-pictogram en "misbruikt het de services om alle benodigde machtigingen te verkrijgen om correct te werken." ThreatFabric zegt dat dit een vergelijkbare methode is als de methode die werd gebruikt in een eerdere malware genaamd Alien, waarvan het denkt dat het in verband kan worden gebracht met Vultur.
De grootste bedreiging die Vultur met zich meebrengt, is dat het het scherm opneemt van het Android-apparaat waarop het is geïnstalleerd. Met behulp van de Accessibility Services houdt het bij welke applicatie op de voorgrond draait. Als die applicatie op de doellijst van Vultur staat, begint de trojan met opnemen en legt hij alles vast wat getypt of ingevoerd is.
Bovendien zeggen ThreatFabric-onderzoekers dat gier de traditionele methoden voor het installeren van apps verstoort. Degenen die de applicatie handmatig proberen te verwijderen, kunnen merken dat de bot automatisch op de terug-knop klikt wanneer de gebruiker het app-detailsscherm bereikt, waardoor ze effectief worden geblokkeerd om de verwijderknop te bereiken.
ArsTechnica merkt op dat Google alle Play Store-apps heeft verwijderd waarvan bekend is dat ze de Brunhilda-dropper bevatten, maar het is mogelijk dat er in de toekomst nieuwe apps verschijnen. Als zodanig mogen gebruikers alleen vertrouwde apps op hun Android-apparaten installeren. Hoewel Vultur zich vooral richt op bankapplicaties, is het ook bekend dat het belangrijke invoer registreert voor applicaties zoals Facebook, WhatsApp en andere sociale media-apps.
