Tero Vesalainen/Shutterstock.com< /figure>
Hacker lassen sich leider immer neue clevere Wege einfallen, um sichere Informationen zu stehlen oder darauf zuzugreifen. Einige kürzlich entdeckte Android-Malware namens Vultur verwendet eine dreiste neue Methode, um Anmeldeinformationen für über 100 Bank- und Krypto-Apps zu sammeln.
Der Remote-Access-Trojaner (RAT) Vultur erhielt seinen Namen von der Amsterdamer Sicherheitsfirma ThreatFabric. Es verwendet eine echte VNC-Bildschirmfreigabe, um den Bildschirm und das Schlüsselprotokoll eines Geräts aufzuzeichnen und alles zurück auf den Server des Angreifers zu spiegeln. Benutzer geben ihre Zugangsdaten unwissentlich in eine ihrer Meinung nach vertrauenswürdige App ein, und die Angreifer sammeln dann die Informationen, melden sich auf einem separaten Gerät bei den Apps an und heben das Geld ab.
Diese Bildschirmaufzeichnungsmethode unterscheidet sich von früheren Android-Banking-Trojanern, die auf einer HTML-Overlay-Strategie beruhten. Vulture verlässt sich auch stark darauf, die Barrierefreiheitsdienste des Betriebssystems des Geräts zu missbrauchen, um die erforderlichen Berechtigungen zu erhalten, die es ihm ermöglichen, auf das zuzugreifen, was es benötigt, um die Anmeldeinformationen erfolgreich auszuführen.
512r/Shutterstock.comIm Bericht von ThreatFabric haben wir erfahren, dass die Bedrohungsakteure eine Liste der Apps sammeln konnten, auf die Vulture abzielte und die über den Google Play Store verbreitet wurden. Italien, Spanien und Australien waren die Regionen, in denen die meisten Bankinstitute von Vultur betroffen waren. Mehrere Krypto-Wallets wurden ebenfalls ins Visier genommen.
“Banking-Bedrohungen auf der mobilen Plattform basieren nicht mehr nur auf bekannten Overlay-Angriffen, sondern entwickeln sich zu RAT-ähnlicher Malware, die nützliche Tricks wie das Erkennen von Vordergrundanwendungen zum Starten der Bildschirmaufzeichnung erbt,” Die Forscher von ThreatFabric schrieben. “Dies hebt die Bedrohung auf eine andere Ebene, da solche Funktionen die Tür für Betrug auf dem Gerät öffnen und die Erkennung basierend auf Phishing-MOs umgehen, die einen Betrug von einem neuen Gerät aus erfordern. Mit Vultur kann Betrug auf dem infizierten Gerät des Opfers passieren. Diese Angriffe sind skalierbar und automatisiert, da die Betrugsaktionen auf dem Malware-Back-End geskriptet und in Form von aufeinander folgenden Befehlen gesendet werden können.”
Wenn der Benutzer eine der Anwendungen herunterlädt und öffnet auf das Vulture abzielt, leitet der Trojaner dann die Bildschirmaufzeichnungssitzung ein. Benutzer, die sich anstecken und versuchen, die bösartige App zu löschen, werden schnell feststellen, dass sie es nicht können, ein Bot innerhalb der Malware klickt automatisch auf die Schaltfläche Zurück und schickt den Benutzer zurück zum Haupteinstellungsbildschirm.
Benutzer müssen nur auf das Benachrichtigungsfeld achten, das anzeigt, dass eine App namens “Protection Guard” projiziert die Leinwand. Für eine gründlichere Beschreibung von Vultur empfehlen wir, den Bericht von ThreatFabric zu lesen. Denken Sie andernfalls daran, nur vertrauenswürdige Apps herunterzuladen.
über Ars Technica