Um malware bancário descoberto recentemente usa uma nova maneira de registrar credenciais de login em dispositivos Android.
ThreatFabric, uma empresa de segurança com sede em Amsterdã, descobriu pela primeira vez o novo malware, que chama de Vultur, em março. De acordo com a ArsTechnica, o Vultur abandona a maneira anteriormente padrão de capturar credenciais e, em vez disso, utiliza a computação em rede virtual (VNC) com recursos de acesso remoto para gravar a tela quando um usuário insere seus detalhes de login em aplicativos específicos.
Embora o malware tenha sido originalmente descoberto em março, pesquisadores da ThreatFabric acreditam que o conectaram ao dropper Brunhilda, um dropper de malware usado anteriormente em vários aplicativos do Google Play para distribuir outros malwares bancários.
ThreatFabric também diz que a maneira como o Vultur aborda a coleta de dados é diferente dos trojans Android anteriores. Ele não sobrepõe uma janela ao aplicativo para coletar os dados inseridos no aplicativo. Em vez disso, ele usa o VNC para gravar a tela e retransmitir esses dados para os maus atores que a executam.
De acordo com o ThreatFabric, o Vultur funciona confiando fortemente nos Serviços de Acessibilidade encontrados no dispositivo Android. Quando o malware é iniciado, ele oculta o ícone do aplicativo e, em seguida, "abusa dos serviços para obter todas as permissões necessárias para operar corretamente". ThreatFabric diz que este é um método semelhante ao usado em um malware anterior chamado Alien, que acredita que pode estar conectado ao Vultur.
A maior ameaça que o Vultur traz é que ele grava a tela do dispositivo Android em que está instalado. Usando os Serviços de Acessibilidade, ele controla qual aplicativo está sendo executado em primeiro plano. Se esse aplicativo estiver na lista de alvos do Vultur, o trojan começará a gravar e capturará qualquer coisa digitada ou inserida.
Além disso, os pesquisadores do ThreatFabric dizem que o abutre interfere nos métodos tradicionais de instalação de aplicativos. Aqueles que tentam desinstalar manualmente o aplicativo podem descobrir que o bot clica automaticamente no botão Voltar quando o usuário acessa a tela de detalhes do aplicativo, impedindo-o de acessar o botão de desinstalação.
ArsTechnica observa que o Google removeu todos os aplicativos da Play Store conhecidos por conter o conta-gotas Brunhilda, mas é possível que novos aplicativos possam aparecer no futuro. Como tal, os usuários devem instalar apenas aplicativos confiáveis em seus dispositivos Android. Embora o Vultur tenha como alvo principalmente aplicativos bancários, ele também é conhecido por registrar entradas importantes para aplicativos como Facebook, WhatsApp e outros aplicativos de mídia social.