Một phần mềm độc hại ngân hàng được phát hiện gần đây sử dụng một cách mới để ghi lại thông tin đăng nhập trên thiết bị Android.
ThreatFainst, một công ty bảo mật có trụ sở tại Amsterdam, lần đầu tiên phát hiện ra phần mềm độc hại mới, được gọi là Vultur, vào tháng Ba. Theo ArsTechnica, Vultur đã từ bỏ cách thu thập thông tin đăng nhập tiêu chuẩn trước đây và thay vào đó sử dụng điện toán mạng ảo (VNC) với khả năng truy cập từ xa để ghi lại màn hình khi người dùng nhập chi tiết đăng nhập của họ vào các ứng dụng cụ thể.
Mặc dù phần mềm độc hại ban đầu được phát hiện vào tháng 3, các nhà nghiên cứu của ThreatFnai tin rằng họ đã kết nối nó với ống nhỏ giọt Brunhilda, một ống nhỏ giọt phần mềm độc hại đã được sử dụng trước đây trong một số ứng dụng Google Play để phân phối phần mềm độc hại ngân hàng khác.
ThreatFainst cũng nói rằng cách Vultur tiếp cận thu thập dữ liệu khác với các trojan Android trước đây. Nó không chồng lên một cửa sổ trên ứng dụng để thu thập dữ liệu bạn nhập vào ứng dụng. Thay vào đó, nó sử dụng VNC để ghi lại màn hình và chuyển tiếp dữ liệu đó lại cho những kẻ xấu đang chạy nó.
Theo ThreatFainst, Vultur hoạt động bằng cách dựa nhiều vào các Dịch vụ trợ năng được tìm thấy trên thiết bị Android. Khi phần mềm độc hại khởi động, nó sẽ ẩn biểu tượng ứng dụng và sau đó "lạm dụng các dịch vụ để có được tất cả các quyền cần thiết để hoạt động bình thường." ThreatFnai cho biết đây là một phương pháp tương tự như phương pháp được sử dụng trong một phần mềm độc hại trước đó có tên là Alien, mà nó tin rằng có thể được kết nối với Vultur.
Mối đe dọa lớn nhất mà Vultur mang lại là nó ghi lại màn hình của thiết bị Android mà nó được cài đặt trên đó. Sử dụng Dịch vụ trợ năng, nó theo dõi ứng dụng nào đang chạy ở nền trước. Nếu ứng dụng đó nằm trong danh sách mục tiêu của Vultur, trojan sẽ bắt đầu ghi và sẽ chụp bất kỳ thứ gì được nhập hoặc nhập.
Ngoài ra, các nhà nghiên cứu của ThreatFainst cho biết kền kền can thiệp vào các phương pháp cài đặt ứng dụng truyền thống. Những người cố gắng gỡ cài đặt ứng dụng theo cách thủ công có thể thấy bot tự động nhấp vào nút quay lại khi người dùng đến màn hình chi tiết ứng dụng, khóa họ không chạm vào nút gỡ cài đặt một cách hiệu quả.
ArsTechnica lưu ý rằng Google đã xóa tất cả các ứng dụng trên Cửa hàng Play được biết là có chứa ống nhỏ giọt Brunhilda, nhưng có khả năng các ứng dụng mới có thể xuất hiện trong tương lai. Do đó, người dùng chỉ nên cài đặt các ứng dụng đáng tin cậy trên thiết bị Android của họ. Trong khi Vultur chủ yếu nhắm mục tiêu vào các ứng dụng ngân hàng, nó cũng đã được biết là ghi lại các đầu vào chính cho các ứng dụng như Facebook, WhatsApp và các ứng dụng truyền thông xã hội khác.