يستخدم برنامج ضار مصرفي تم اكتشافه مؤخرًا طريقة جديدة لتسجيل بيانات اعتماد تسجيل الدخول على أجهزة Android.
ThreatFabric ، شركة أمنية مقرها أمستردام ، اكتشفت لأول مرة البرنامج الضار الجديد ، الذي تسميه Vultur ، في مارس. وفقًا لـ ArsTechnica ، يتجاهل Vultur الطريقة القياسية السابقة لالتقاط بيانات الاعتماد ويستخدم بدلاً من ذلك حوسبة الشبكة الافتراضية (VNC) مع إمكانات الوصول عن بُعد لتسجيل الشاشة عندما يُدخل المستخدم تفاصيل تسجيل الدخول الخاصة به في تطبيقات محددة.
بينما تم اكتشاف البرنامج الضار في الأصل في شهر مارس ، يعتقد باحثون مع ThreatFabric أنهم قاموا بتوصيله بقطارة Brunhilda ، وهو قطارة برامج ضارة تم استخدامها سابقًا في العديد من تطبيقات Google Play لتوزيع البرامج الضارة المصرفية الأخرى.
يقول ThreatFabric أيضًا أن الطريقة التي يتعامل بها Vultur مع جمع البيانات تختلف عن أحصنة طروادة Android السابقة. لا يضع نافذة فوق التطبيق لتجميع البيانات التي تدخلها في التطبيق. بدلاً من ذلك ، يستخدم VNC لتسجيل الشاشة وترحيل تلك البيانات مرة أخرى إلى الجهات الفاعلة السيئة التي تقوم بتشغيلها.
وفقًا لـ ThreatFabric ، يعمل Vultur من خلال الاعتماد بشكل كبير على خدمات إمكانية الوصول الموجودة على جهاز Android. عند بدء تشغيل البرنامج الضار ، فإنه يخفي رمز التطبيق ثم "يسيء استخدام الخدمات للحصول على جميع الأذونات اللازمة للعمل بشكل صحيح". يقول ThreatFabric أن هذه طريقة مماثلة لتلك المستخدمة في برنامج ضار سابق يسمى Alien ، والذي يعتقد أنه يمكن توصيله بـ Vultur.
أكبر تهديد يجلبه Vultur هو أنه يسجل شاشة جهاز Android المثبت عليه. باستخدام خدمات إمكانية الوصول ، فإنه يتتبع التطبيق الذي يتم تشغيله في المقدمة. إذا كان هذا التطبيق مدرجًا في قائمة أهداف Vultur ، فسيبدأ حصان طروادة في التسجيل وسيلتقط أي شيء مكتوب أو تم إدخاله.
بالإضافة إلى ذلك ، يقول باحثو ThreatFabric إن النسر يتداخل مع الأساليب التقليدية لتثبيت التطبيقات. قد يجد أولئك الذين يحاولون إلغاء تثبيت التطبيق يدويًا أن الروبوت ينقر تلقائيًا على زر الرجوع عندما يصل المستخدم إلى شاشة تفاصيل التطبيق ، مما يمنعه بشكل فعال من الوصول إلى زر إلغاء التثبيت.
يلاحظ ArsTechnica أن Google قد أزالت جميع تطبيقات Play Store المعروف أنها تحتوي على قطارة Brunhilda ، ولكن من الممكن أن تظهر تطبيقات جديدة في المستقبل. على هذا النحو ، يجب على المستخدمين فقط تثبيت التطبيقات الموثوقة على أجهزة Android الخاصة بهم. بينما يستهدف Vultur في الغالب التطبيقات المصرفية ، فمن المعروف أيضًا أنه يسجل المدخلات الرئيسية لتطبيقات مثل Facebook و WhatsApp وتطبيقات الوسائط الاجتماعية الأخرى.
