Ang isang kamakailang natuklasang malware sa pagbabangko ay gumagamit ng bagong paraan upang magtala ng mga kredensyal sa pag-log in sa mga Android device.
Ang ThreatFabric, isang security firm na nakabase sa Amsterdam, ay unang nakatuklas ng bagong malware, na tinatawag nitong Vultur, noong Marso. Ayon sa ArsTechnica, tinatalikuran ni Vultur ang dating karaniwang paraan ng pagkuha ng mga kredensyal at sa halip ay gumagamit ng virtual network computing (VNC) na may mga kakayahan sa malayuang pag-access upang i-record ang screen kapag ipinasok ng isang user ang kanilang mga detalye sa pag-log in sa mga partikular na application.
Habang ang malware ay orihinal na natuklasan noong Marso, naniniwala ang mga mananaliksik na may ThreatFabric na ikinonekta nila ito sa Brunhilda dropper, isang malware dropper na ginamit dati sa ilang Google Play app upang ipamahagi ang iba pang malware sa pagbabangko.
Sinasabi rin ng ThreatFabric na ang paraan ng paglapit ni Vultur sa pangangalap ng data ay iba sa mga nakaraang Android trojan. Hindi ito nagpapatong ng isang window sa ibabaw ng application upang kolektahin ang data na iyong ipinasok sa app. Sa halip, gumagamit ito ng VNC para i-record ang screen at i-relay ang data na iyon pabalik sa mga masasamang aktor na nagpapatakbo nito.
Ayon sa ThreatFabric, gumagana ang Vultur sa pamamagitan ng lubos na pag-asa sa Mga Serbisyo sa Accessibility na makikita sa Android device. Kapag nagsimula ang malware, itinatago nito ang icon ng app at pagkatapos ay "aabuso ang mga serbisyo upang makuha ang lahat ng kinakailangang pahintulot upang gumana nang maayos." Sinabi ng ThreatFabric na ito ay katulad ng paraan sa ginamit sa isang nakaraang malware na tinatawag na Alien, na pinaniniwalaan nitong maaaring konektado sa Vultur.
Ang pinakamalaking banta na dulot ng Vultur ay ang pagtatala nito sa screen ng Android device kung saan ito naka-install. Gamit ang Accessibility Services, sinusubaybayan nito kung anong application ang tumatakbo sa foreground. Kung ang application na iyon ay nasa listahan ng target ng Vultur, ang trojan ay magsisimulang mag-record at kukuha ng anumang nai-type o ipinasok.
Dagdag pa rito, sinasabi ng mga mananaliksik ng ThreatFabric na nakakasagabal ang buwitre sa mga tradisyonal na paraan ng pag-install ng mga app. Maaaring makita ng mga sumusubok na manu-manong i-uninstall ang application na awtomatikong nagki-click ang bot sa back button kapag naabot ng user ang screen ng mga detalye ng app, na epektibong na-lock ang mga ito sa pag-abot sa uninstall button.
ArsTechnica tala na inalis ng Google ang lahat ng Play Store app na kilala na naglalaman ng Brunhilda dropper, ngunit posibleng may lumabas na mga bagong app sa hinaharap. Dahil dito, ang mga user lang ang dapat mag-install ng mga pinagkakatiwalaang app sa kanilang mga Android device. Bagama't kadalasang tina-target ng Vultur ang mga application sa pagbabangko, kilala rin itong mag-log ng mga pangunahing input para sa mga application tulad ng Facebook, WhatsApp, at iba pang social media app.