Google Sklep Play i nowy malware. Celem Vultur są dane logowania do banków

Eksperci odkryli niedawno złośliwe oprogramowanie typu malware, które rozprzestrzenia się za pośrednictwem sklepu Google Play. Vultur pozyskuje dane logowania do aplikacji bankowych i kryptowalutowych za pomocą rejestrowania ekranu urządzenia, na którym się znajdzie.

Jak wynika z analizy ArsTechnica, Vultur jest jednym z pierwszych tego rodzaju zagrożeń dla Androida. Malware, które rejestrują ekran urządzenia po otwarciu aplikacji bankowej, odzwierciedlają wszystkie wydarzenia na wyświetlaczu zainfekowanego urządzenia na sprzęcie kontrolowanym przez hakera.

Eksperci z ThreatFabric postanowili przyjrzeć się temu malware aby poznać dokładnie sposób jego działania. Udało im się ustalić, że szkodliwe oprogramowania wykorzystuje stworzoną przez oszusta nakładkę na okno ekranu logowania. Ta zaś wygląda identycznie jak interfejs użytkownika aplikacji bankowej, przez co użytkownicy są przekonani, że wprowadzają swoje dane uwierzytelniające do zaufanego serwisu.

Za pomocą nakładki nałożonej przez Vulture, oszuści zbierają dane uwierzytelniające użytkowników. Mając do nich dostęp mogą samodzielnie zalogować się do banku bądź aplikacji kryptowalutowej i wypłacić pieniądze na swoje konta. Co ważne, Vulture jest w stanie nałożyć nakładkę okna na ponad 100 oficjalnych aplikacji banków i portfeli krypto.

Co ważne, badacze ThreatFabric donoszą, że próby samodzielnego usunięcia Vulture ze smartfonów mogą być skazane na niepowodzenia. Złośliwe oprogramowanie, podobnie jak wiele innych trojanów bankowych na Androida, opiera swoje działania na usługach ułatwień dostępu wbudowanych system operacyjny. Podczas pierwszej instalacji Vultur nadużywa tych usług, aby uzyskać uprawnienia wymagane do pracy, a następnie monitoruje wszystkie żądania, które wymagają ułatwień dostępu.

ArsTechnica podaje, że Vulture wykorzystuje pozyskane ułatwienia dostępu aby zapobiec usunięciu aplikacji za pomocą tradycyjnych środków. Za każdym razem, gdy użytkownik próbuje uzyskać dostęp do szczegółów aplikacji w ustawieniach Androida, malware automatycznie klika przycisk Wstecz. Realnie blokuje więc użytkownikowi dostęp do przycisku odinstalowania.

Obecnie, zgodnie z informacjami zespołu ThreatFabric, potencjalnie groźne aplikacje zostały usunięte ze sklepu Play. Eksperci podają, że dwie aplikacje znane były jako Protection Guard oraz Authenticator 2FA. Zwracają jednak uwagę, że w najbliższym czasie wrócą zapewne do sklepu w nowej formie dlatego apelują do użytkowników Androida o zachowanie szczególnej ostrożności.

ThreatFabric sugeruje, że użytkownicy Androida powinni instalować tylko aplikacje, od znanych wydawców, co do których są przekonani, że są bezpieczne i nie nadużywają ułatwień dostępu. Ważne jest także zwracanie szczególnej uwagi na oceny użytkowników i recenzje w sklepie Google Play.