Ένα προσφάτως ανιχνευμένο Android malware – ονομάζεται Vultur – που διαδόθηκε μέσω του Google Play Store, χρησιμοποιεί έναν καινοτόμο τρόπο για να συλλέξει login credentials από περισσότερες από 100 τραπεζικές εφαρμογές και εφαρμογές cryptocurrency.
Το malware, το οποίο οι ερευνητές από την εταιρεία ασφαλείας ThreatFabric αποκαλούν Vultur, συγκαταλέγεται μεταξύ των πρώτων απειλών Android που κάνουν record μια οθόνη συσκευής κάθε φορά που ανοίγει μία από τις στοχευμένες εφαρμογές. Το Vultur χρησιμοποιεί ένα πραγματικό implementation της εφαρμογής κοινής χρήσης οθόνης VNC για να αντικατοπτρίσει την οθόνη της μολυσμένης συσκευής σε server που ελέγχεται από εισβολείς, δήλωσαν οι ερευνητές της ThreatFabric.
Δείτε επίσης: Malware Meteor: Επίθεση στο σιδηροδρομικό σύστημα του Ιράν
Ο τυπικός τρόπος λειτουργίας για bank-fraud malware με βάση το Android είναι η τοποθέτηση ενός παραθύρου πάνω από την οθόνη σύνδεσης που παρουσιάζεται από μια στοχευμένη εφαρμογή. Τα “overlay”, όπως συνήθως ονομάζονται τέτοια παράθυρα, φαίνονται πανομοιότυπα με τα user interface των τραπεζικών εφαρμογών, δίνοντας στα θύματα την εντύπωση ότι εισάγουν τα credentials τους σε ένα αξιόπιστο software. Οι εισβολείς στη συνέχεια συλλέγουν τα credentials, τα εισάγουν στην εφαρμογή που εκτελείται σε διαφορετική συσκευή και κλέβουν χρήματα.
Το Vultur, όπως και πολλά banking trojans Android, βασίζεται σε μεγάλο βαθμό στις υπηρεσίες προσβασιμότητας που είναι ενσωματωμένες στο λειτουργικό σύστημα κινητής τηλεφωνίας. Κατά την πρώτη εγκατάσταση, το Vultur καταχράται αυτές τις υπηρεσίες για να λάβει τα δικαιώματα που απαιτούνται για εργασία. Για να γίνει αυτό, το malware χρησιμοποιεί ένα overlay που έχει ληφθεί από άλλες οικογένειες κακόβουλων προγραμμάτων. Έκτοτε, το Vultur παρακολουθεί όλα τα αιτήματα που ενεργοποιούν τις υπηρεσίες προσβασιμότητας.
Δείτε επίσης: Malware εμφανίζεται ως Windows 11 Installer και μολύνει χρήστες
Το malware χρησιμοποιεί τις υπηρεσίες για τον εντοπισμό αιτημάτων που προέρχονται από μια στοχευμένη εφαρμογή. Επίσης, το malware χρησιμοποιεί τις υπηρεσίες για να σταματήσει τον χρήστη από τη χρήση παραδοσιακών μέτρων για τη διαγραφή της εφαρμογής. Συγκεκριμένα, κάθε φορά που ο χρήστης προσπαθεί να έχει πρόσβαση στην οθόνη λεπτομερειών εφαρμογής στις ρυθμίσεις του Android, το Vultur κάνει αυτόματα κλικ στο κουμπί επιστροφής. Αυτό αποκλείει την πρόσβαση του χρήστη στο κουμπί απεγκατάστασης. Το Vultur κρύβει και το εικονίδιο του.
Ένας άλλος τρόπος με τον οποίο το κακόβουλο λογισμικό παραμένει κρυφό: οι trojanized εφαρμογές που το εγκαθιστούν είναι προγράμματα πλήρους λειτουργίας που παρέχουν πραγματικές υπηρεσίες, όπως παρακολούθηση φυσικής κατάστασης ή έλεγχο ταυτότητας δύο παραγόντων. Παρά τις προσπάθειες για overlay, το κακόβουλο λογισμικό παρέχει τουλάχιστον ένα προειδοποιητικό σημάδι ότι λειτουργεί – όποια και να είναι η trojanized εφαρμογή που έχει εγκαταστήσει το Vultur, θα εμφανίζεται στον πίνακα ειδοποιήσεων Android καθώς προβάλλει την οθόνη.
Μόλις εγκατασταθεί, το Vultur ξεκινά την εγγραφή της οθόνης, χρησιμοποιώντας την εφαρμογή VNC από το Alpha VNC. Για να παρέχει απομακρυσμένη πρόσβαση στον VNC server που εκτελείται στη μολυσμένη συσκευή, το malware χρησιμοποιεί το ngrok, μια εφαρμογή που χρησιμοποιεί κρυπτογραφημένο tunnel για να εκθέτει τοπικά συστήματα που κρύβονται πίσω από τα firewalls στο δημόσιο Internet.
Το malware εγκαθίσταται από μια trojanized εφαρμογή γνωστή ως dropper. Μέχρι στιγμής, οι ερευνητές της ThreatFabric έχουν βρει δύο trojanized εφαρμογές στο Google Play που εγκαθιστούν το Vultur. Είχαν συνδυαστικά περίπου 5.000 installations, οδηγώντας τους ερευνητές στο να εκτιμήσουν ότι ο αριθμός των μολύνσεων από Vultur είναι χιλιάδες. Σε αντίθεση με τα περισσότερα κακόβουλα προγράμματα Android, τα οποία βασίζονται σε third-party droppers, το Vultur χρησιμοποιεί ένα προσαρμοσμένο dropper που ονομάζεται Brunhilda.
Οι ερευνητές διαπίστωσαν ότι το Brunhilda είχε χρησιμοποιηθεί για την εγκατάσταση διαφορετικού malware Android, γνωστού ως Alien. Συνολικά, οι ερευνητές εκτιμούν ότι το Brunhilda έχει μολύνει περισσότερες από 30.000 συσκευές. Οι ερευνητές για την εκτίμηση τους βασίστηκαν σε κακόβουλες εφαρμογές που ήταν προηγουμένως διαθέσιμες στο Play Store – μερικές με περισσότερες από 10.000 εγκαταστάσεις η καθεμία – καθώς και στοιχεία από αγορές τρίτων.
Το Vultur είναι προγραμματισμένο να κάνει record οθόνες όταν εκτελείται στο προσκήνιο οποιαδήποτε από τις 103 εφαρμογές Android banking ή cryptocurrency.
Εκτός από τις τραπεζικές εφαρμογές και τις εφαρμογές cryptocurrency, το κακόβουλο λογισμικό συλλέγει επίσης credentials για το Facebook, το WhatsApp messenger, το TikTok και το Viber Messenger.
Δείτε επίσης: LemonDuck: Η Microsoft προειδοποιεί για το cryptomining malware που στοχεύει Windows και Linux
Ενώ η Google έχει καταργήσει όλες τις εφαρμογές του Play Market που είναι γνωστό ότι περιέχουν Brunhilda. Οι χρήστες Android πρέπει να εγκαθιστούν μόνο εφαρμογές που παρέχουν χρήσιμες υπηρεσίες και, ακόμη και τότε, μόνο εφαρμογές από γνωστούς publishers, όταν αυτό είναι δυνατόν. Οι άνθρωποι πρέπει επίσης να δίνουν μεγάλη προσοχή στις αξιολογήσεις των χρηστών και στη συμπεριφορά των εφαρμογών για ενδείξεις κακοήθειας.
Πηγή πληροφοριών: arstechnica.com
