ახლახან აღმოჩენილი საბანკო მავნე პროგრამა იყენებს ახალ გზას შესვლის სერთიფიკატების ჩასაწერად Android მოწყობილობებზე.
ThreatFabric, უსაფრთხოების ფირმა, რომელიც დაფუძნებულია ამსტერდამში, პირველად აღმოაჩინა ახალი მავნე პროგრამა, რომელსაც Vultur-ს უწოდებს, მარტში. ArsTechnica-ს თანახმად, Vultur უარს ამბობს რწმუნებათა სიგელების აღების ადრე სტანდარტულ გზაზე და ამის ნაცვლად იყენებს ვირტუალურ ქსელურ გამოთვლას (VNC) დისტანციური წვდომის შესაძლებლობებით ეკრანის ჩასაწერად, როდესაც მომხმარებელი შეაქვს თავისი შესვლის დეტალებს კონკრეტულ აპლიკაციებში.
მიუხედავად იმისა, რომ მავნე პროგრამა თავდაპირველად აღმოაჩინეს მარტში, ThreatFabric-ის მკვლევარები თვლიან, რომ ისინი დაუკავშირდნენ Brunhilda dropper-ს, მავნე პროგრამის წვეთს, რომელიც ადრე გამოიყენებოდა რამდენიმე Google Play აპში სხვა საბანკო მავნე პროგრამების გასავრცელებლად.
ThreatFabric ასევე ამბობს, რომ Vultur-ის მიდგომა მონაცემთა შეგროვების გზით განსხვავდება წინა Android ტროასებისგან. ის არ ათავსებს ფანჯარას აპლიკაციის თავზე, რათა შეაგროვოს აპში შეყვანილი მონაცემები. ამის ნაცვლად, ის იყენებს VNC-ს ეკრანის ჩასაწერად და ამ მონაცემების გადაცემას ცუდ მსახიობებზე, რომლებიც მას მართავენ.
ThreatFabric-ის მიხედვით, Vultur მუშაობს Android მოწყობილობაზე ნაპოვნი ხელმისაწვდომობის სერვისებზე დაყრდნობით. როდესაც მავნე პროგრამა გაშვებულია, ის მალავს აპლიკაციის ხატულას და შემდეგ „ბოროტად იყენებს სერვისებს, რათა მიიღოს ყველა საჭირო ნებართვა სწორად მუშაობისთვის“. ThreatFabric ამბობს, რომ ეს არის მსგავსი მეთოდი, რომელიც გამოყენებული იყო წინა მავნე პროგრამაში, სახელწოდებით Alien, რომელიც, მისი აზრით, შეიძლება იყოს დაკავშირებული Vultur-თან.
ყველაზე დიდი საფრთხე Vultur-ს მოაქვს არის ის, რომ ჩაწერს იმ Android მოწყობილობის ეკრანს, რომელზეც ის არის დაინსტალირებული. ხელმისაწვდომობის სერვისების გამოყენებით, ის თვალყურს ადევნებს, თუ რომელი აპლიკაცია მუშაობს წინა პლანზე. თუ ეს აპლიკაცია Vultur-ის სამიზნე სიაშია, ტროას დაიწყებს ჩაწერას და დაიჭერს ყველა აკრეფილს ან შეყვანილს.
დამატებით, ThreatFabric-ის მკვლევარები ამბობენ, რომ vulture ერევა აპლიკაციების დაყენების ტრადიციულ მეთოდებში. მათთვის, ვინც აპლიკაციის ხელით დეინსტალაციას ცდილობს, შეიძლება აღმოაჩინოს, რომ ბოტი ავტომატურად დააწკაპუნებს უკანა ღილაკზე, როდესაც მომხმარებელი მიაღწევს აპის დეტალების ეკრანს, ფაქტობრივად დაბლოკავს მათ, რომ არ მიაღწევს დეინსტალაციის ღილაკს.
ArsTechnica აღნიშნავს, რომ Google-მა წაშალა Play Store-ის ყველა აპი, რომელიც ცნობილია, რომ შეიცავს Brunhilda dropper-ს, მაგრამ შესაძლებელია, რომ მომავალში ახალი აპლიკაციები გამოჩნდეს. როგორც ასეთი, მომხმარებლებმა მხოლოდ სანდო აპები უნდა დააინსტალირონ თავიანთ Android მოწყობილობებზე. მიუხედავად იმისა, რომ Vultur ძირითადად მიზნად ისახავს საბანკო აპლიკაციებს, ის ასევე ცნობილია, რომ აღრიცხავს საკვანძო შეყვანას აპლიკაციებისთვის, როგორიცაა Facebook, WhatsApp და სხვა სოციალური მედიის აპლიკაციები.