Bu yaxınlarda aşkar edilmiş bank zərərli proqramı Android cihazlarında giriş etimadnaməsini qeyd etmək üçün yeni üsuldan istifadə edir.
ThreatFabric, Amsterdamda yerləşən təhlükəsizlik firması ilk dəfə mart ayında Vultur adlandırdığı yeni zərərli proqramı kəşf etdi. ArsTechnica-ya görə, Vultur etimadnamələrin ələ keçirilməsinin əvvəlki standart üsulundan imtina edir və əvəzində istifadəçi xüsusi proqramlara giriş məlumatlarını daxil etdikdə ekranı qeyd etmək üçün uzaqdan giriş imkanları olan virtual şəbəkə hesablamalarından (VNC) istifadə edir.
Zərərli proqram ilkin olaraq mart ayında aşkar edilsə də, ThreatFabric ilə tədqiqatçılar onu digər bank zərərli proqramlarını yaymaq üçün əvvəllər bir neçə Google Play tətbiqində istifadə edilən zərərli proqram damcısı olan Brunhilda damcısına qoşduqlarına inanırlar.
ThreatFabric həmçinin deyir ki, Vulturun məlumat toplamağa yanaşma tərzi keçmiş Android troyanlarından fərqlidir. Tətbiqə daxil etdiyiniz məlumatları toplamaq üçün proqramın üzərinə bir pəncərə qoymur. Əvəzində o, ekranı yazmaq və həmin məlumatları onu işləyən pis aktyorlara ötürmək üçün VNC-dən istifadə edir.
ThreatFabric-ə görə, Vultur Android cihazında tapılan Əlçatımlılıq Xidmətlərinə böyük etibar etməklə işləyir. Zərərli proqram işə salındıqda, proqram simvolunu gizlədir və sonra "düzgün işləmək üçün bütün lazımi icazələri əldə etmək üçün xidmətlərdən sui-istifadə edir". ThreatFabric deyir ki, bu, Vultur ilə əlaqəli ola biləcəyinə inandığı Alien adlı əvvəlki zərərli proqramda istifadə edilən metoda oxşar üsuldur.
Vultur-un gətirdiyi ən böyük təhlükə onun quraşdırıldığı Android cihazının ekranını qeyd etməsidir. Əlçatanlıq Xidmətlərindən istifadə edərək, o, hansı proqramın ön planda işlədiyini izləyir. Əgər həmin proqram Vulturun hədəf siyahısındadırsa, troyan qeyd etməyə başlayacaq və yazılan və ya daxil edilmiş hər şeyi ələ keçirəcək.
Bundan əlavə, ThreatFabric tədqiqatçıları deyirlər ki, qarğalar tətbiqlərin quraşdırılmasının ənənəvi üsullarına mane olur. Tətbiqi əl ilə silməyə çalışanlar istifadəçi proqram təfərrüatları ekranına çatdıqda botun avtomatik olaraq geri düyməsinə kliklədiyini görə bilər və onları sil düyməsinə çata bilməyəcək.
ArsTechnica qeyd edir ki, Google Brunhilda damcısını ehtiva etdiyi bilinən bütün Play Store proqramlarını silib, lakin gələcəkdə yeni tətbiqlərin görünməsi mümkündür. Beləliklə, istifadəçilər yalnız Android cihazlarında etibarlı proqramlar quraşdırmalıdırlar. Vultur əsasən bank proqramlarını hədəfləsə də, Facebook, WhatsApp və digər sosial media tətbiqləri kimi tətbiqlər üçün əsas girişləri daxil etdiyi məlumdur.