Pred kratkim odkrita zlonamerna programska oprema za bančništvo uporablja nov način za beleženje prijavnih poverilnic v napravah Android.
ThreatFabric, varnostno podjetje s sedežem v Amsterdamu, je marca prvič odkrilo novo zlonamerno programsko opremo, ki jo imenuje Vultur. Glede na ArsTechnica se Vultur odreče prejšnjemu standardnemu načinu zajemanja poverilnic in namesto tega uporablja virtualno omrežno računalništvo (VNC) z zmožnostmi oddaljenega dostopa za snemanje zaslona, ko uporabnik vnese svoje podatke za prijavo v določene aplikacije.
Medtem ko je bila zlonamerna programska oprema prvotno odkrita marca, raziskovalci s ThreatFabric menijo, da so jo povezali s kapalko Brunhilda, zlonamerno programsko opremo, ki se je prej uporabljala v več aplikacijah Google Play za distribucijo druge bančne zlonamerne programske opreme.
ThreatFabric pravi tudi, da je način, na katerega Vultur pristopa k zbiranju podatkov, drugačen od preteklih trojancev za Android. Nad aplikacijo ne prekriva okna za zbiranje podatkov, ki jih vnesete v aplikacijo. Namesto tega uporablja VNC za snemanje zaslona in posredovanje teh podatkov nazaj slabim akterjem, ki ga upravljajo.
Glede na ThreatFabric, Vultur deluje tako, da se močno zanaša na storitve dostopnosti, ki jih najdete v napravi Android. Ko se zlonamerna programska oprema zažene, skrije ikono aplikacije in nato "zlorabi storitve, da pridobi vsa potrebna dovoljenja za pravilno delovanje." ThreatFabric pravi, da je to podobna metoda, kot je bila uporabljena v prejšnji zlonamerni programski opremi, imenovani Alien, za katero menijo, da bi lahko bila povezana z Vulturjem.
Največja grožnja, ki jo prinaša Vultur, je, da snema zaslon naprave Android, v kateri je nameščen. Z uporabo storitev Accessibility Services spremlja, katera aplikacija se izvaja v ospredju. Če je ta aplikacija na Vulturjevem ciljnem seznamu, bo trojanec začel snemati in zajel vse, kar je vtipkano ali vneseno.
Poleg tega raziskovalci ThreatFabric pravijo, da vulture ovira tradicionalne metode nameščanja aplikacij. Tisti, ki poskušajo ročno odstraniti aplikacijo, bodo morda ugotovili, da bot samodejno klikne gumb za nazaj, ko uporabnik doseže zaslon s podrobnostmi o aplikaciji, kar jim dejansko onemogoči doseganje gumba za odstranitev.
ArsTechnica ugotavlja, da je Google odstranil vse aplikacije Trgovine Play, za katere je znano, da vsebujejo kapalko Brunhilda, vendar je možno, da se bodo v prihodnosti pojavile nove aplikacije. Zato naj uporabniki na svoje naprave Android nameščajo samo zaupanja vredne aplikacije. Čeprav Vultur večinoma cilja na bančne aplikacije, je znano tudi, da beleži ključne vnose za aplikacije, kot so Facebook, WhatsApp in druge aplikacije družbenih medijev.