Hamis belépőfelületek helyett a mobilok kijelzőinek tartalmát rögzíti egy kártevő.

Újdonságról számolt be az androidos kártevők piacán a ThreatFabric biztonsági cég, az általa Vultur névre keresztelt androidos trójai eddig nem látott módon lopja többek közt mobilbanki és kriptovalutás appokból a neveket és a jelszavakat. Az efféle adatlopók általában hamis belépőfelületeket próbálnak megjeleníteni a valódiak felett, ezzel szemben a Vultur távoli hozzáférést lehetővé tevő komponensen át közvetíti a mobil kijelzőjének tartalmát a bűnözők szervereire.

A kép csak illusztrációForrás: Oppo

A Vulture nagy érdekessége, hogy a készítői távolról is képesek a telefonokról kapott, valós idejű kép alapján adatbevitelt szimulálni, így ha például az áldozat feloldja a mobilbankos vagy kriptopénztárcás appját, akkor teljesen gépi módon, koppintásokat mímelve pillanatok alatt elutalhatják a pénzét.

Ezt persze látni fogja az áldozat, de ha minden jól megy a támadó számára, akkor nem lesz elég ideje felocsúdnia a döbbenetből és tenni valamit a pénzküldések meghiúsítása érdekében, főleg esetleges ellenlépéseket jelenléte mellett. Az áldozat készülékén való garázdálkodás további előnye, hogy a bankok csalásfigyelő rendszerei jóval kisebb eséllyel detektálják a tranzakciót.

A Vulturt telepítő kódot eddig két a Google Play Áruházba feltöltött appban (Protection Guard, Authenticator 2FA) detektálták, ezek összesen olyan 5000 telepítést hoztak össze a boltból való törlésük előtt. A támadók 103 mobilbanki és kriptopénztárcás app figyelésére képesek a kártevővel, elsősorban ausztrál, spanyol és olasz pénzintézeteket vettek célba, magyar bank nincs a listájukon. Ezek mellett a kártevőjükkel WhatsApp, Viber, TikTok és Facebook belépési adatokat is lopnak.

A kártevő a legegyszerűbben onnan ismerhető fel, hogy egy támadott app megnyitásakor megjelenik az Android értesítési felületén a kijelző tartalmának a közvetítését jelző ikon. A törlését nehezíti, hogy lehetetlenné teszi a Beállítások alkalmazásban a telepített appokat felsoroló felület megnyitását, legrosszabb esetben vissza kell állítani gyári alaphelyzetbe a készülék szoftverét a kiirtásához.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!