Վերջերս հայտնաբերված բանկային չարամիտ ծրագիրը օգտագործում է նոր միջոց՝ մուտքի հավատարմագրերը գրանցելու Android սարքերում:
ThreatFabric, անվտանգության ընկերությունը, որը հիմնված է Ամստերդամում, առաջին անգամ հայտնաբերեց նոր չարամիտ ծրագիրը, որը նա անվանում է Vultur, մարտին: Ըստ ArsTechnica-ի, Vultur-ը հրաժարվում է հավատարմագրերը գրավելու նախկինում ստանդարտ եղանակից և փոխարենը օգտագործում է վիրտուալ ցանցային հաշվարկը (VNC)՝ հեռահար մուտքի հնարավորություններով՝ էկրանը ձայնագրելու համար, երբ օգտատերը մուտքի մանրամասները մուտքագրում է հատուկ հավելվածներում::
Չնայած չարամիտ ծրագիրն ի սկզբանե հայտնաբերվել էր մարտին, ThreatFabric-ի հետազոտողները կարծում են, որ այն միացրել են Brunhilda dropper-ին, չարամիտ կաթոցիչ, որը նախկինում օգտագործվում էր Google Play-ի մի քանի հավելվածներում՝ այլ բանկային չարամիտ ծրագրեր տարածելու համար::
ThreatFabric-ը նաև ասում է, որ Vultur-ի մոտեցումները տվյալների հավաքագրմանը տարբերվում են նախկին Android տրոյաններից: Այն հավելվածի վրա պատուհան չի դնում՝ հավելված մուտքագրած տվյալները հավաքելու համար: Փոխարենը, այն օգտագործում է VNC՝ էկրանը ձայնագրելու և այդ տվյալները փոխանցելու այն վատ դերակատարներին, որոնք աշխատում են այն:
Ըստ ThreatFabric-ի, Vultur-ն աշխատում է՝ մեծապես հենվելով Android սարքում հայտնաբերված Մատչելիության ծառայությունների վրա: Երբ չարամիտ ծրագիրը գործարկվում է, այն թաքցնում է հավելվածի պատկերակը և այնուհետև «չարաշահում է ծառայությունները՝ պատշաճ գործելու համար անհրաժեշտ բոլոր թույլտվությունները ստանալու համար»: ThreatFabric-ն ասում է, որ սա նման մեթոդ է, որն օգտագործվում էր նախորդ չարամիտ ծրագրի մեջ, որը կոչվում էր Alien, որը, իր կարծիքով, կարող է կապված լինել Vultur-ի հետ:
Ամենամեծ սպառնալիքը, որ բերում է Vultur-ն այն է, որ այն ձայնագրում է Android սարքի էկրանը, որի վրա տեղադրված է: Օգտագործելով Մատչելիության ծառայությունները՝ այն հետևում է, թե ինչ հավելված է աշխատում առաջին պլանում: Եթե այդ հավելվածը գտնվում է Vultur-ի թիրախային ցանկում, ապա տրոյան կսկսի ձայնագրել և կգրանցի մուտքագրված կամ մուտքագրված ցանկացած բան:
Բացի այդ, ThreatFabric-ի հետազոտողները ասում են, որ անգղը խանգարում է հավելվածների տեղադրման ավանդական մեթոդներին: Նրանք, ովքեր փորձում են ձեռքով հեռացնել հավելվածը, կարող են պարզել, որ բոտը ավտոմատ կերպով կտտացնում է «Հետ» կոճակը, երբ օգտատերը հասնում է հավելվածի մանրամասների էկրանին՝ փաստացիորեն արգելափակելով նրանց՝ տեղահանման կոճակին հասնելու համար:
ArsTechnica-ն նշում է, որ Google-ը հեռացրել է Play Store-ի բոլոր հավելվածները, որոնք հայտնի են, որ պարունակում են Brunhilda dropper, սակայն հնարավոր է, որ ապագայում նոր հավելվածներ հայտնվեն: Որպես այդպիսին, օգտվողները միայն պետք է տեղադրեն վստահելի հավելվածներ իրենց Android սարքերում: Թեև Vultur-ը հիմնականում ուղղված է բանկային հավելվածներին, այն նաև հայտնի է, որ հիմնական մուտքերը գրանցվում են այնպիսի հավելվածների համար, ինչպիսիք են Facebook-ը, WhatsApp-ը և սոցիալական մեդիայի այլ հավելվածները:
