Sebuah malware perbankan yang baru ditemukan menggunakan cara baru untuk merekam kredensial login di perangkat Android.
ThreatFabric, sebuah perusahaan keamanan yang berbasis di Amsterdam, pertama kali menemukan malware baru, yang disebut Vultur, pada bulan Maret. Menurut ArsTechnica, Vultur mengabaikan cara standar sebelumnya untuk menangkap kredensial dan sebaliknya menggunakan komputasi jaringan virtual (VNC) dengan kemampuan akses jarak jauh untuk merekam layar ketika pengguna memasukkan detail login mereka ke dalam aplikasi tertentu.
Sementara malware awalnya ditemukan pada bulan Maret, peneliti dengan ThreatFabric percaya bahwa mereka telah menghubungkannya ke penetes Brunhilda, penetes malware yang sebelumnya digunakan di beberapa aplikasi Google Play untuk mendistribusikan malware perbankan lainnya.
ThreatFabric juga mengatakan bahwa cara Vultur mendekati pengumpulan data berbeda dari trojan Android sebelumnya. Itu tidak menempatkan jendela di atas aplikasi untuk mengumpulkan data yang Anda masukkan ke dalam aplikasi. Sebaliknya, ia menggunakan VNC untuk merekam layar dan menyampaikan data itu kembali ke aktor jahat yang menjalankannya.
Menurut ThreatFabric, Vultur bekerja dengan sangat mengandalkan Layanan Aksesibilitas yang ada di perangkat Android. Ketika malware dimulai, itu menyembunyikan ikon aplikasi dan kemudian "menyalahgunakan layanan untuk mendapatkan semua izin yang diperlukan untuk beroperasi dengan benar." ThreatFabric mengatakan ini adalah metode yang mirip dengan yang digunakan pada malware sebelumnya bernama Alien, yang diyakini dapat terhubung ke Vultur.
Ancaman terbesar yang dibawa Vultur adalah merekam layar perangkat Android yang dipasangnya. Menggunakan Layanan Aksesibilitas, itu melacak aplikasi apa yang berjalan di latar depan. Jika aplikasi itu ada di daftar target Vultur, trojan akan mulai merekam dan akan menangkap apa pun yang diketik atau dimasukkan.
Selain itu, peneliti ThreatFabric mengatakan burung nasar mengganggu metode tradisional dalam memasang aplikasi. Mereka yang mencoba mencopot pemasangan aplikasi secara manual mungkin mendapati bot secara otomatis mengeklik tombol kembali saat pengguna mencapai layar detail aplikasi, secara efektif mengunci mereka agar tidak mencapai tombol copot pemasangan.
ArsTechnica mencatat bahwa Google telah menghapus semua aplikasi Play Store yang diketahui mengandung penetes Brunhilda, tetapi ada kemungkinan aplikasi baru dapat muncul di masa mendatang. Dengan demikian, pengguna hanya boleh menginstal aplikasi tepercaya di perangkat Android mereka. Meskipun Vultur sebagian besar menargetkan aplikasi perbankan, Vultur juga diketahui mencatat input kunci untuk aplikasi seperti Facebook, WhatsApp, dan aplikasi media sosial lainnya.
