Un malware bancario scoperto di recente utilizza un nuovo modo per registrare le credenziali di accesso sui dispositivi Android.
ThreatFabric, un'azienda di sicurezza con sede ad Amsterdam, ha scoperto per la prima volta il nuovo malware, che chiama Vultur, a marzo. Secondo ArsTechnica, Vultur rinuncia al modo precedentemente standard di acquisire le credenziali e utilizza invece il virtual network computing (VNC) con capacità di accesso remoto per registrare lo schermo quando un utente inserisce i propri dati di accesso in applicazioni specifiche.
Sebbene il malware sia stato originariamente scoperto a marzo, i ricercatori di ThreatFabric ritengono di averlo collegato al contagocce Brunhilda, un contagocce malware utilizzato in precedenza in diverse app di Google Play per distribuire altri malware bancari.
ThreatFabric afferma anche che il modo in cui Vultur si avvicina alla raccolta dei dati è diverso dai precedenti trojan Android. Non sovrappone una finestra all'applicazione per raccogliere i dati inseriti nell'app. Invece, usa VNC per registrare lo schermo e trasmettere quei dati ai cattivi attori che lo eseguono.
Secondo ThreatFabric, Vultur funziona facendo molto affidamento sui servizi di accessibilità presenti sul dispositivo Android. Quando il malware viene avviato, nasconde l'icona dell'app e quindi "abusa dei servizi per ottenere tutte le autorizzazioni necessarie per funzionare correttamente". ThreatFabric afferma che questo è un metodo simile a quello utilizzato in un precedente malware chiamato Alien, che si ritiene possa essere collegato a Vultur.
La più grande minaccia che Vultur porta è che registra lo schermo del dispositivo Android su cui è installato. Utilizzando i servizi di accessibilità, tiene traccia di quale applicazione è in esecuzione in primo piano. Se quell'applicazione è nell'elenco di destinazione di Vultur, il trojan inizierà a registrare e catturerà qualsiasi cosa digitata o inserita.
Inoltre, i ricercatori di ThreatFabric affermano che l'avvoltoio interferisce con i metodi tradizionali di installazione delle app. Coloro che tentano di disinstallare manualmente l'applicazione potrebbero scoprire che il bot fa clic automaticamente sul pulsante Indietro quando l'utente raggiunge la schermata dei dettagli dell'app, impedendogli di raggiungere il pulsante di disinstallazione.
ArsTechnica rileva che Google ha rimosso tutte le app del Play Store note per contenere il contagocce Brunhilda, ma è possibile che nuove app possano apparire in futuro. Pertanto, gli utenti dovrebbero installare app affidabili solo sui propri dispositivi Android. Sebbene Vultur si rivolga principalmente alle applicazioni bancarie, è anche noto per registrare input chiave per applicazioni come Facebook, WhatsApp e altre app di social media.