Un malware de Android fură credențiale din peste 100 de aplicații bancare și de criptomonede

de | august 14, 2021 | Știri de securitate cibernetică

malware de Android furând

Programele malware pentru Android se prezintă într-o varietate de forme, fiecare cu diferite niveluri de complexitate a atacului. Acestea pot face orice, de la furtul unor informații specifice până la preluarea completă a computerului sau a dispozitivului dvs. mobil. Cu toate acestea, un nou troian Android, denumit „Vultur” de către cercetătorii din Amsterdam, are o abordare mult mai dură față de țintele sale.

Acest software malițios înregistrează tot ceea ce se întâmplă pe ecranul telefonului dumneavoastră. Una dintre consecințe este că a urmări aplicații precum cele bancare și de socializare devine o joacă de copii. Cercetătorii de la compania de securitate informatică ThreatFabric au observat că:

„Pentru prima dată, vedem un troian bancar pentru Android care are ca strategie principală înregistrarea ecranului și keylogging-ul pentru a colecta credențiale de autentificare într-un mod automat și scalabil. În plus, actorii au ales să se îndepărteze de strategia comună de suprapunere HTML pe care o vedem de obicei în alți troieni bancari Android.”

Potrivit echipei de cercetători, pagubele au fost extinse în Italia, Spania, Australia, Marea Britanie și Olanda. În plus, hackerii rău intenționați au dezvoltat o nouă amenințare de securitate care fură informații personale de la utilizatorii de Android care nu sunt atenți.

Cum afectează malware-ul Vultur dispozitivele Android?

  • Acesta captează acțiunile de pe un dispozitiv mobil folosind metode de înregistrare a ecranului și le trimite înapoi la serverele atacatorilor. Când cineva intră în conturile sale bancare, efectuează tranzacții cu criptomonede sau utilizează platformele de socializare precum Facebook, acest virus este activat.
  • Vultur este un tip de malware dificil de abordat. Acesta a infectat o serie de aplicații din Google PlayStore, aplicații de fitness, de securitate a telefonului și de autentificare.
  • De asemenea, Vultur profită de funcția „Servicii de accesibilitate” a Android. Utilizatorii cu deficiențe vizuale sau auditive pot folosi această funcție pentru a recunoaște conținutul de pe ecranul smartphone-ului.
  • Scopul său este de a permite unei aplicații să citească ceea ce este afișat în acel moment pe ecran. Vultur folosește această funcție pentru a opera sisteme care fură informații.
  • Malware-ul se folosește de servicii pentru a identifica solicitările de la o anumită aplicație. De asemenea, malware-ul se folosește de servicii pentru a împiedica ștergerea programului prin metode obișnuite.
  • Vultur, în special, afectează butonul de revenire, ori de câte ori utilizatorul încearcă să ajungă la ecranul cu detalii despre aplicații din setările Android. Ca urmare, utilizatorul nu va putea ajunge la butonul de dezinstalare. De asemenea, Vultur își ascunde și pictograma.

Vultur este instalat pe telefoanele Android de către un „dropper” numit Brunhilda. Aproximativ 30.000 de dispozitive cu sistem de operare Android au fost infectate cu Brunhilda până în prezent, potrivit ThreatFabric, ceea ce înseamnă că mii de utilizatori au fost infectați cu Vultur.

Echipa ThreatFabric a declarat că:

„Povestea lui Vultur arată încă o dată cum atacanții trec de la utilizarea troienilor închiriați (MaaS) care sunt vânduți pe piețele clandestine, la malware-ul propriu/privat adaptat la nevoile atacatorului. Amenințările bancare de pe platforma mobilă nu se mai bazează doar pe atacurile de suprapunere bine cunoscute, ci evoluează spre malware de tip RAT, moștenind trucuri utile precum detectarea aplicațiilor din prim-plan pentru a începe înregistrarea ecranului.”

Echipa ThreatFabric avertizează că în mod îngrijorător acest lucru ridică amenințarea la un nivel cu totul nou. Asta deoarece încurajează o fraudă mai mare la nivel de dispozitiv.

“With Vultur, fraud can happen on the infected device of the victim. Furthermore, these attacks are scalable and automated since the actions to perform fraud can be scripted on the malware back-end. And sent in the form of sequenced commands.”

În afară de aplicațiile bancare și de criptomonede, software-ul colectează, de asemenea, credențiale pentru Facebook, WhatsApp Messenger, TikTok și Viber Messenger, deținute de Facebook. Pentru a obține credențialele pentru aceste aplicații se utilizează keylogging-ul tradițional, deși raportul ThreatFabric nu a explicat de ce.

Cum puteți opri infectarea?

Cel mai bine ar fi să dezactivați imediat permisiunile aplicației malware Vultur pentru a o opri. Pentru a face acest lucru, mergeți la „Settings”, „Apps” de unde alegeți aplicația infectată. Apoi dezactivați toate opțiunile care apar atunci când derulați în jos și se deschide „App Permission”.

După aceea, puteți încerca să dezinstalați software-ul. Selectați aplicația infectată din „Settings”, „Apps”. Înainte de a face clic pe „Dezinstalare”, „Opriți forțat” funcționarea acestuia.

Considerații finale

Există o măsură de precauție; utilizatorii ar trebui să evite să descarce programe sau date de pe site-uri web suspecte. Deoarece hackerii sunt din ce în ce mai greu de detectat, este important să fiți atenți la orice comportament ciudat pe smartphone-ul dumneavoastră. În final, instalați aplicații și alte programe doar din surse de încredere.

Deși Google a eliminat toate aplicațiile cunoscute din Play Market infectate cu Brunhilda, istoricul companiei arată că, cel mai probabil, vor apărea noi aplicații cu troieni. Prin urmare, utilizatorii de Android ar trebui să instaleze numai aplicații care oferă servicii utile și, dacă este posibil, numai aplicații de la producători cunoscuți. De asemenea, oamenii ar trebui să fie atenți la semnalele de malițiozitate în evaluările utilizatorilor și în comportamentul aplicațiilor!

Surse:

by Andreea Popa

Content writer for Attack Simulator, delivering your daily dose of awareness for cyber security! Love to write passionately about any subject and my mainly inspiration are people's stories. You can also find me on social media, for some more friendly things!

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.