Нідерландська дослідницька компанія в області кібербезпеки виявила новий застосунок-дропер для Android, який має назву Vultur. Програма забезпечує легітимну функціональність, а потім непомітно переходить в шкідливий режим при виявленні банківських та інших фінансових операцій.
Vultur збирає облікові дані фінансових установ, поєднуючи поточну банківську сесію і відразу ж краде кошти. Все це відбувається непомітно. І про всяк випадок, якщо жертва розуміє, що відбувається, вірус блокує екран.
Нагадаємо, що шкідливе ПЗ, як-от Crackonosh, можна отримати навіть через безкоштовні версії відомих ігор. Ми також повідомляли про ПЗ, яке викрадає будь-які дані з Android-смартфона і повідомляли про шкідливе ПЗ FluBot.
Що ж може Vultur?
Vultur може відстежувати застосунки, що запускаються, і ативувати запис екрана. Крім того, запис екрана запускається щоразу при розблокуванні пристрою для фіксації PIN-коду / графічного пароля, використовуваного для розблокування пристрою. Аналітики протестували можливості Vultur на реальному пристрої і можуть підтвердити, що ПЗ успішно записує відео з введенням PIN-коду / графічного пароля при розблокуванні пристрою і введенні облікових даних у банківському застосунку.
Після завантаження програми, що містить Vultur, він запитує дозволи для виконання зловмисних дій. Отримавши їх, вірус також активує механізм самозахисту, який ускладнює його видалення. Якщо жертва намагається видалити троян або відключити привілеї служби доступності, Vultur закриє Android Меню налаштувань, щоб запобігти цьому.
Варто зазначити, що використання біометрії для входу в фінансові застосунки є кращим варіантом, на відміну від PIN-коду чи пароля. Однак в цій ситуації це не допоможе, оскільки шкідливий додаток під’єднується до живого сеансу.
Кіберфахівці запропонували три варіанти щодо виходу з-під контролю Vultur. По-перше, завантажте телефон в безпечному режимі, запобігаючи запуск шкідливого ПЗ, а потім спробуйте видалити шкідливий застосунок. По-друге, використовуйте ADB (Android Debug Bridge) для підключення до пристрою через USB і виконайте команду {code} adb uninstall <malware_package_name> {code}. Або виконайте скидання налаштувань до заводських. Для цього вам також потрібно знати назву програми, що містить вірус. Це може бути нелегко визначити, якщо у вас багато застосунків.
Користувачі схильні беззастережно довіряти застосункам, офіційно пропонованим через магазини Google та Apple. Обидві компанії перед публікуванням застосунків у своїх магазинах перевіряють їх. Проте, в Google Play опиняється набагато більша кількість шкідливих програм, а причиною тому, швидше за все, є дуже короткий термін перевірки. Натомість, розробники часто скаржаться на довгу перевірку з боку Apple. Відповідно, в App Store потрапляє менше шкідливого контенту, хоч у цього магазина є інші недоліки.
Кіберфахівці стверджують, що такий вірус як Vultur досить важко виявити. Навіть з використанням великої кількості аналітиків безпеки та інструментів машинного навчання.