Un programari maliciós bancari descobert recentment utilitza una nova manera d'enregistrar les credencials d'inici de sessió als dispositius Android.
ThreatFabric, una empresa de seguretat amb seu a Amsterdam, va descobrir per primera vegada el nou programari maliciós, que anomena Vultur, al març. Segons ArsTechnica, Vultur renuncia a la forma estàndard anterior de capturar credencials i, en canvi, utilitza la informàtica de xarxa virtual (VNC) amb capacitats d'accés remot per gravar la pantalla quan un usuari introdueix les seves dades d'inici de sessió en aplicacions específiques.
Si bé el programari maliciós es va descobrir originalment al març, els investigadors de ThreatFabric creuen que l'han connectat al comptagotes Brunhilda, un comptagote de programari maliciós utilitzat anteriorment en diverses aplicacions de Google Play per distribuir altres programes maliciosos bancaris.
ThreatFabric també diu que la manera en què Vultur s'aproxima a recopilar dades és diferent dels troians d'Android anteriors. No superposa una finestra a l'aplicació per recollir les dades que introduïu a l'aplicació. En comptes d'això, utilitza VNC per gravar la pantalla i transmetre aquestes dades als actors dolents que l'executen.
Segons ThreatFabric, Vultur funciona basant-se molt en els serveis d'accessibilitat que es troben al dispositiu Android. Quan s'inicia el programari maliciós, amaga la icona de l'aplicació i després "abusa dels serveis per obtenir tots els permisos necessaris per funcionar correctament". ThreatFabric diu que aquest és un mètode similar al que s'utilitzava en un programari maliciós anterior anomenat Alien, que creu que es podria connectar a Vultur.
La major amenaça que aporta Vultur és que registra la pantalla del dispositiu Android on està instal·lat. Mitjançant els serveis d'accessibilitat, fa un seguiment de quina aplicació s'està executant en primer pla. Si aquesta aplicació es troba a la llista de destinació de Vultur, el troià començarà a gravar i capturarà qualsevol cosa que s'hagi escrit o introduït.
A més, els investigadors de ThreatFabric diuen que el voltor interfereix amb els mètodes tradicionals d'instal·lació d'aplicacions. Aquells que intentin desinstal·lar l'aplicació manualment, poden trobar que el bot fa clic automàticament al botó enrere quan l'usuari arriba a la pantalla de detalls de l'aplicació, bloquejant-los efectivament perquè no puguin accedir al botó de desinstal·lació.
ArsTechnica assenyala que Google ha eliminat totes les aplicacions de Play Store que se sap que contenen el comptagotes Brunhilda, però és possible que apareguin noves aplicacions en el futur. Com a tal, els usuaris només haurien d'instal·lar aplicacions de confiança als seus dispositius Android. Tot i que Vultur es dirigeix principalment a aplicacions bancàries, també se sap que registra entrades clau per a aplicacions com Facebook, WhatsApp i altres aplicacions de xarxes socials.
