Hackers komen helaas altijd met slimme nieuwe manieren om beveiligde informatie te stelen of te openen. Sommige recentelijk gedetecteerde Android-malware, Vultur genaamd, gebruikt een brutale nieuwe methode om inloggegevens te verzamelen voor meer dan 100 bank- en crypto-apps.
De Remote Access Trojan (RAT) malware, Vultur, dankt zijn naam aan het Amsterdamse beveiligingsbedrijf ThreatFabric. Het maakt gebruik van een echte implementatie VNC-schermdeling om het scherm van een apparaat op te nemen, het sleutellogboek en alles terug te spiegelen naar de server van de aanvaller. Gebruikers voeren onbewust hun inloggegevens in wat volgens hen een vertrouwde app is en de aanvallers verzamelen vervolgens de informatie, loggen in op de apps op een apart apparaat en nemen het geld op.
Deze methode voor schermopname is anders dan eerdere trojans voor Android-bankieren, die afhankelijk waren van een HTML-overlaystrategie. Vulture vertrouwt ook sterk op het misbruiken van de toegankelijkheidsservices op het besturingssysteem van het apparaat om de nodige machtigingen te verkrijgen die het toegang geven tot wat het nodig heeft om de inloggegevens succesvol uit te voeren.
512r/Shutterstock.comIn het rapport van ThreatFabric hebben we vernomen dat de dreigingsactoren een lijst konden verzamelen van de apps waarop Vulture zich richtte, die werden verspreid via de Google Play Store. Italië, Spanje en Australië waren de regio's met het hoogste aantal bankinstellingen die door Vultur werden getroffen. Verschillende crypto-wallets waren ook het doelwit.
“Bankbedreigingen op het mobiele platform zijn niet langer alleen gebaseerd op bekende overlay-aanvallen, maar evolueren naar RAT-achtige malware, die handige trucs overerft, zoals het detecteren van voorgrondapplicaties om schermopname te starten,” ThreatFabric's onderzoekers schreven. “Dit brengt de dreiging naar een ander niveau, aangezien dergelijke functies de deur openen voor fraude op het apparaat en detectie omzeilen op basis van phishing-MO's die fraude vereisen vanaf een nieuw apparaat. Met Vultur kan fraude plaatsvinden op het geïnfecteerde apparaat van het slachtoffer. Deze aanvallen zijn schaalbaar en geautomatiseerd omdat de acties om fraude uit te voeren kunnen worden gescript op de malware-backend en verzonden in de vorm van opeenvolgende opdrachten.”
Als de gebruiker een van de applicaties downloadt en opent waarop Vulture zich richt, start de Trojan vervolgens de schermopnamesessie. Gebruikers die de kwaadaardige app in de gaten houden en proberen te verwijderen, zullen snel ontdekken dat een bot binnen de malware automatisch op de terugknop klikt en de gebruiker terugstuurt naar het hoofdinstellingenscherm.
Het enige voordeel dat gebruikers hebben, is aandacht te schenken aan het meldingspaneel, dat laat zien dat een app met de naam “Protection Guard” het scherm projecteert. Voor een meer gedetailleerde beschrijving van Vultur raden we aan het rapport van ThreatFabric te lezen. Vergeet anders niet alleen vertrouwde apps te downloaden.
via Ars Technica