Hiljuti avastatud panganduse pahavara kasutab Android-seadmetes sisselogimismandaatide salvestamiseks uut viisi.
Amsterdami turvafirma ThreatFabric avastas märtsis esmakordselt uue pahavara, mida nimetatakse Vulturiks. ArsTechnica sõnul loobub Vultur senisest standardsest mandaatide kogumise viisist ja kasutab selle asemel virtuaalset võrguarvutust (VNC) kaugjuurdepääsuga, et salvestada ekraanikuva, kui kasutaja sisestab oma sisselogimisandmed konkreetsetesse rakendustesse.
Kui pahavara algselt avastati märtsis, usuvad ThreatFabrici teadlased, et nad on selle ühendanud Brunhilda dropperiga, pahavara tilgutiga, mida varem kasutati mitmes Google Play rakenduses muu panganduse pahavara levitamiseks.
ThreatFabric ütleb ka, et viis, kuidas Vultur andmete kogumisele läheneb, erineb varasematest Androidi troojalastest. See ei aseta rakenduse kohale akent, mille kaudu koguda rakendusse sisestatud andmeid. Selle asemel kasutab see ekraani salvestamiseks VNC-d ja edastab need andmed tagasi halbadele näitlejatele, kes seda käitavad.
ThreatFabricu kohaselt töötab Vultur suuresti Android-seadmes leiduvatele juurdepääsetavusteenustele. Kui pahavara käivitatakse, peidab see rakenduse ikooni ja seejärel "kuritarvitab teenuseid, et hankida kõik nõuetekohaseks toimimiseks vajalikud load". ThreatFabrici sõnul on see meetod sarnane sellele, mida kasutati varasemas pahavaras nimega Alien, mis tema arvates võib olla Vulturiga ühendatud.
Suurim oht, mille Vultur toob, on see, et see salvestab selle Android-seadme ekraani, millesse see on installitud. Juurdepääsetavusteenuseid kasutades jälgib see, milline rakendus esiplaanil töötab. Kui see rakendus on Vulturi sihtloendis, alustab troojalane salvestamist ja jäädvustab kõik, mis on kirjutatud või sisestatud.
Lisaks ütlevad ThreatFabrici teadlased, et raisakotkas segab traditsioonilisi rakenduste installimise meetodeid. Need, kes üritavad rakendust käsitsi desinstallida, võivad avastada, et robot klõpsab automaatselt tagasinupule, kui kasutaja jõuab rakenduse üksikasjade ekraanile, blokeerides sellega tõhus alt desinstallimisnupuni jõudmise.
ArsTechnica märgib, et Google on eemaldanud kõik Play poe rakendused, mis teadaolev alt sisaldavad Brunhilda tilgutit, kuid on võimalik, et tulevikus ilmuvad uued rakendused. Seetõttu peaksid kasutajad oma Android-seadmetesse installima ainult usaldusväärseid rakendusi. Kuigi Vultur sihib enamasti pangarakendusi, on teada, et see logib ka selliste rakenduste jaoks nagu Facebook, WhatsApp ja muud sotsiaalmeediarakendused võtmesisendeid.