Det rapporteres nå om en ny skadevare av typen banktrojaner på Android-plattformen som har potensiale til å gjøre mye skade. Nettstedet Ars Technica var blant de første til å skrive om saken.
Skadevaren er døpt Vultur og ble nylig omtalt av det nederlandske sikkerhetsselskapet Threatfabric, som spesialiserer seg på ondsinnet programvare designet for banksvindel.
Tar opptak av skjermen
Vultur er en RAT-programvare (remote access trojan) som først ble oppdaget av Threatfabric i mars i år, og er designet for å utføre svindel ved å høste sensitive data fra brukere – deriblant brukernavn og passord knyttet til bankkontoer.
Trojaneren bruker såkalte «dropper»-applikasjoner til å installere skadevaren. Sikkerhetsselskapet skriver at de har identifisert minst to slike applikasjoner med tilknytning til Vultur, hvorav én har flere tusen nedlastninger på Google Play.
Det kan imidlertid befinne seg langt flere applikasjoner som installerer trojaneren på Play-butikken, som innebærer at det potensielle antallet ofre er stort.
Det som skiller trojaneren fra andre banktrojanere på Android-plattformen er at den gjør opptak av mobilskjermen for å stjele de sensitive dataene – som gjør den til den første i sitt slag blant de truslene Threatfabric har registrert så langt på plattformen.
Den mest utbredte metoden er å lure brukere til å gi fra seg data via overlag i apper som utgir seg for å være legitime, for så å sende dataene videre til nettsider som kontrolleres av bakmennene.
Bruker VNC og tilgjengelighetsverktøyet
Opptaket av skjermaktiviteten skjer via VNC-løsningen (Virtual Network Computing), programvare som brukes til å fjernbetjene enheter over et nettverk, ved at skjermen speiles til en VNC-server som kontrolleres av bakmennene.
Skjermspeilingen utløses når bestemte applikasjoner er i bruk. Trojaneren registrerer hvilken app som kjøres i forgrunnen ved hjelp av tilgjengelighetsverktøyet i Android, og dersom den aktuelle appen befinner seg på listen over mål som trojaneren opererer med, starter opptaket. Selve ikonet til trojaneren skjules automatisk for brukeren.
Funksjonaliteten til Vultur hever trusselbildet betydelig sammenlignet med andre, tilsvarende programmer, fordi svindelen skjer på selve enheten og dermed omgår mottiltak som baserer seg på tradisjonell phishing.
– Med Vultur kan svindel skje på den infiserte enheten til offeret. Disse angrepene er skalerbare og automatiserte siden handlingene som brukes til å utføre svindelen kan skriptes på skadevarens backend og sendes som sekvenserte kommandoer, skriver sikkerhetsselskapet.
De fleste av bankinstitusjonene på trojanerens målliste skal befinne seg i Australia, Spania og Italia, og mange krypto-lommebøker er også blant målene. Det er uvisst hvor mange som er blitt ofre for trojaneren.
Flere tekniske detaljer finner du hos Threatfabric.
Android-skadevare sprer seg via SMS-meldinger og falske apper – Norge rammet