Yakın zamanda keşfedilen bir bankacılık kötü amaçlı yazılımı, Android cihazlarda oturum açma kimlik bilgilerini kaydetmenin yeni bir yolunu kullanıyor.
Amsterdam merkezli bir güvenlik firması olan ThreatFabric, Vultur adını verdiği yeni kötü amaçlı yazılımı ilk olarak Mart ayında keşfetti. ArsTechnica'ya göre, Vultur, daha önce standart olan kimlik bilgilerini yakalama yolundan vazgeçiyor ve bunun yerine, bir kullanıcı oturum açma ayrıntılarını belirli uygulamalara girdiğinde ekranı kaydetmek için uzaktan erişim yeteneklerine sahip sanal ağ bilgi işlem (VNC) kullanıyor.
Kötü amaçlı yazılım ilk olarak Mart ayında keşfedilmiş olsa da, ThreatFabric araştırmacıları onu, daha önce birkaç Google Play uygulamasında diğer bankacılık kötü amaçlı yazılımlarını dağıtmak için kullanılan bir kötü amaçlı yazılım damlalığı olan Brunhilda damlalığına bağladıklarına inanıyorlar.
ThreatFabric ayrıca Vultur'un veri toplamaya yaklaşımının geçmişteki Android truva atlarından farklı olduğunu söylüyor. Uygulamaya girdiğiniz verileri toplamak için uygulamanın üzerine bir pencere eklemez. Bunun yerine, ekranı kaydetmek ve bu verileri onu çalıştıran kötü oyunculara geri iletmek için VNC'yi kullanır.
ThreatFabric'e göre Vultur, Android cihazında bulunan Erişilebilirlik Hizmetlerine büyük ölçüde güvenerek çalışır. Kötü amaçlı yazılım başlatıldığında, uygulama simgesini gizler ve ardından "düzgün çalışması için gerekli tüm izinleri almak için hizmetleri kötüye kullanır." ThreatFabric, bunun Vultur'a bağlı olabileceğine inandığı Alien adlı önceki kötü amaçlı yazılımda kullanılana benzer bir yöntem olduğunu söylüyor.
Vultur'un getirdiği en büyük tehdit, yüklü olduğu Android cihazın ekranını kaydetmesidir. Erişilebilirlik Hizmetlerini kullanarak, ön planda hangi uygulamanın çalıştığını takip eder. Bu uygulama Vultur'un hedef listesindeyse, truva atı kayda başlayacak ve yazılan veya girilen her şeyi yakalayacaktır.
Ek olarak, ThreatFabric araştırmacıları akbabanın geleneksel uygulama yükleme yöntemlerine müdahale ettiğini söylüyor. Uygulamayı manuel olarak kaldırmaya çalışanlar, kullanıcı uygulama ayrıntıları ekranına ulaştığında botun otomatik olarak geri düğmesini tıkladığını ve onları kaldırma düğmesine erişmelerini engellediğini görebilir.
ArsTechnica, Google'ın Brunhilda damlalığını içerdiği bilinen tüm Play Store uygulamalarını kaldırdığını, ancak gelecekte yeni uygulamaların ortaya çıkabileceğini belirtiyor. Bu nedenle, kullanıcılar yalnızca Android cihazlarına güvenilir uygulamalar yüklemelidir. Vultur çoğunlukla bankacılık uygulamalarını hedef alırken, Facebook, WhatsApp ve diğer sosyal medya uygulamaları gibi uygulamalar için önemli girdileri günlüğe kaydettiği de biliniyor.