Eine kürzlich entdeckte Banking-Malware verwendet eine neue Methode, um Anmeldeinformationen auf Android-Geräten aufzuzeichnen.
ThreatFabric, eine Sicherheitsfirma mit Sitz in Amsterdam, entdeckte die neue Malware, die sie Vultur nennt, erstmals im März. Laut ArsTechnica verzichtet Vultur auf die bisher übliche Methode zur Erfassung von Anmeldeinformationen und verwendet stattdessen Virtual Network Computing (VNC) mit Fernzugriffsfunktionen, um den Bildschirm aufzuzeichnen, wenn ein Benutzer seine Anmeldedaten in bestimmte Anwendungen eingibt.
Während die Malware ursprünglich im März entdeckt wurde, glauben Forscher von ThreatFabric, dass sie sie mit dem Brunhilda-Dropper in Verbindung gebracht haben, einem Malware-Dropper, der zuvor in mehreren Google Play-Apps verwendet wurde, um andere Banking-Malware zu verbreiten.
ThreatFabric sagt auch, dass sich die Art und Weise, wie Vultur an das Sammeln von Daten herangeht, von früheren Android-Trojanern unterscheidet. Es überlagert kein Fenster über der Anwendung, um die Daten zu sammeln, die Sie in die App eingeben. Stattdessen verwendet es VNC, um den Bildschirm aufzuzeichnen und diese Daten an die schlechten Schauspieler weiterzuleiten, die ihn ausführen.
Laut ThreatFabric funktioniert Vultur, indem es sich stark auf Accessibility Services verlässt, die auf dem Android-Gerät zu finden sind. Wenn die Malware gestartet wird, blendet sie das App-Symbol aus und „missbraucht dann die Dienste, um alle erforderlichen Berechtigungen für einen ordnungsgemäßen Betrieb zu erh alten“. Laut ThreatFabric ist dies eine ähnliche Methode wie bei einer früheren Malware namens Alien, von der man annimmt, dass sie mit Vultur verbunden sein könnte.
Die größte Bedrohung durch Vultur besteht darin, dass es den Bildschirm des Android-Geräts aufzeichnet, auf dem es installiert ist. Mithilfe der Accessibility Services verfolgt es, welche Anwendung im Vordergrund ausgeführt wird. Wenn sich diese Anwendung auf der Zielliste von Vultur befindet, beginnt der Trojaner mit der Aufzeichnung und erfasst alles Getippte oder Eingegebene.
Darüber hinaus sagen Forscher von ThreatFabric, dass Vulture traditionelle Methoden zur Installation von Apps stört. Diejenigen, die versuchen, die Anwendung manuell zu deinstallieren, stellen möglicherweise fest, dass der Bot automatisch auf die Sch altfläche „Zurück“klickt, wenn der Benutzer den Bildschirm mit den App-Details erreicht, wodurch er effektiv daran gehindert wird, die Sch altfläche „Deinstallieren“zu erreichen.
ArsTechnica weist darauf hin, dass Google alle Apps aus dem Play Store entfernt hat, von denen bekannt ist, dass sie den Brunhilda-Dropper enth alten, aber es ist möglich, dass in Zukunft neue Apps erscheinen. Daher sollten Benutzer nur vertrauenswürdige Apps auf ihren Android-Geräten installieren. Während Vultur hauptsächlich auf Bankanwendungen abzielt, ist es auch dafür bekannt, wichtige Eingaben für Anwendungen wie Facebook, WhatsApp und andere Social-Media-Apps zu protokollieren.
