Hackers , malheureusement, proposent toujours de nouvelles façons intelligentes de voler ou d'accéder à des informations sécurisées. Certains logiciels malveillants Android récemment détectés, surnommés Vultur, utilisent une nouvelle méthode effrontée pour collecter les informations de connexion pour plus de 100 applications bancaires et cryptographiques.
Le malware cheval de Troie d'accès à distance (RAT), Vultur, tire son nom de la société de sécurité ThreatFabric basée à Amsterdam. Il utilise une véritable implémentation de partage d'écran VNC pour enregistrer l'écran d'un appareil, le journal des clés et tout refléter sur le serveur de l'attaquant. Les utilisateurs saisissent sans le savoir leurs informations d'identification dans ce qu'ils pensent être une application de confiance et les attaquants collectent ensuite les informations, se connectent aux applications sur un appareil distinct et retirent l'argent.
Cette méthode d'enregistrement d'écran est différente des précédents chevaux de Troie bancaires Android, qui reposaient sur une stratégie de superposition HTML. Vulture s'appuie également fortement sur l'abus des services d'accessibilité sur le système d'exploitation de l'appareil pour obtenir les autorisations nécessaires qui lui permettront d'accéder à ce dont il a besoin pour exécuter avec succès la collecte des informations d'identification.
512r/Shutterstock.comDans le rapport de ThreatFabric, nous avons appris que les acteurs de la menace ont pu collecter une liste des applications que Vulture ciblait, qui ont été diffusées via le Google Play Store. L'Italie, l'Espagne et l'Australie étaient les régions qui comptaient le plus grand nombre d'établissements bancaires touchés par Vultur. Plusieurs portefeuilles cryptographiques ont également été ciblés.
“Les menaces bancaires sur la plate-forme mobile ne sont plus uniquement basées sur des attaques de superposition bien connues, mais évoluent vers des logiciels malveillants de type RAT, héritant d'astuces utiles telles que la détection d'applications de premier plan pour démarrer l'enregistrement d'écran,” Les chercheurs de ThreatFabric ont écrit. « Cela porte la menace à un autre niveau, car ces fonctionnalités ouvrent la porte à la fraude sur l'appareil, contournant la détection basée sur les MO d'hameçonnage qui nécessitent une fraude effectuée à partir d'un nouvel appareil. Avec Vultur, une fraude peut se produire sur l'appareil infecté de la victime. Ces attaques sont évolutives et automatisées car les actions pour effectuer une fraude peuvent être scriptées sur le backend du malware et envoyées sous forme de commandes séquencées.
Si l'utilisateur télécharge et ouvre l'une des applications que Vautour cible, le cheval de Troie lance alors la session d'enregistrement d'écran. Les utilisateurs qui saisissent et essaient de supprimer l'application malveillante découvriront rapidement qu'ils peuvent & #8217;t—un bot dans le logiciel malveillant clique automatiquement sur le bouton de retour et renvoie l'utilisateur à l'écran principal des paramètres.
Le seul avantage des utilisateurs est de prêter attention au panneau de notification, qui montrera qu'une application appelée “Protection Guard” projette l'écran. Pour un article plus détaillé sur Vultur, nous vous recommandons de lire le rapport de ThreatFabric. Sinon, n'oubliez pas de télécharger uniquement des applications de confiance.
via Ars Technica