Gli hacker, sfortunatamente, escogitano sempre nuovi modi intelligenti per rubare o accedere a informazioni sicure. Alcuni malware Android rilevati di recente, soprannominati Vultur, stanno utilizzando un nuovo metodo sfacciato per raccogliere le credenziali di accesso per oltre 100 app bancarie e crittografiche.
Il malware di accesso remoto Trojan (RAT), Vultur, ha preso il nome dalla società di sicurezza ThreatFabric con sede ad Amsterdam. Utilizza un'implementazione reale di condivisione dello schermo VNC per registrare lo schermo di un dispositivo, il registro delle chiavi e rispecchiare tutto sul server dell'attaccante. Gli utenti inseriscono inconsapevolmente le proprie credenziali in quella che ritengono essere un'app affidabile e gli aggressori quindi raccolgono le informazioni, accedono alle app su un dispositivo separato e prelevano il denaro.
Questo metodo di registrazione dello schermo è diverso dai precedenti trojan bancari per Android, che si basavano su una strategia di sovrapposizione HTML. Vulture fa anche molto affidamento sull'abuso dei servizi di accessibilità sul sistema operativo del dispositivo per ottenere le autorizzazioni necessarie che gli consentiranno di accedere a ciò di cui ha bisogno per eseguire correttamente la raccolta delle credenziali.
512r/Shutterstock.comNel rapporto di ThreatFabric, abbiamo appreso che gli autori delle minacce sono stati in grado di raccogliere un elenco delle app a cui Vulture stava prendendo di mira, che sono state diffuse tramite il Google Play Store. Italia, Spagna e Australia sono state le regioni che hanno avuto il maggior numero di istituti bancari colpiti da Vultur. Sono stati presi di mira anche diversi portafogli crittografici.
“Le minacce bancarie sulla piattaforma mobile non si basano più solo su noti attacchi overlay, ma si evolvono in malware simile a RAT, ereditando trucchi utili come il rilevamento di applicazioni in primo piano per avviare la registrazione dello schermo,” I ricercatori di ThreatFabric hanno scritto. “Ciò porta la minaccia a un altro livello, in quanto tali funzionalità aprono la porta alle frodi sul dispositivo, aggirando il rilevamento basato su MO’ di phishing che richiedono frodi eseguite da un nuovo dispositivo. Con Vultur, possono verificarsi frodi sul dispositivo infetto della vittima. Questi attacchi sono scalabili e automatizzati poiché le azioni per eseguire frodi possono essere scriptate sul backend del malware e inviate sotto forma di comandi in sequenza.”
Se l'utente scarica e apre una delle applicazioni che Vulture sta prendendo di mira, il Trojan avvia quindi la sessione di registrazione dello schermo. Gli utenti che si accorgono e cercano di eliminare l'app dannosa scopriranno rapidamente che non possono fare clic sul pulsante Indietro e rimandare l'utente alla schermata delle impostazioni principali.
L'unico vantaggio che hanno gli utenti è quello di prestare attenzione al pannello delle notifiche, che mostrerà che un'app chiamata “Protection Guard” sta proiettando lo schermo. Per un resoconto più dettagliato su Vultur, ti consigliamo di leggere il rapporto di ThreatFabric. Altrimenti, ricorda di scaricare solo app affidabili.
tramite Ars Technica