Un malware bancaire récemment découvert utilise une nouvelle façon d'enregistrer les identifiants de connexion sur les appareils Android.
ThreatFabric, une société de sécurité basée à Amsterdam, a découvert le nouveau malware, qu'elle appelle Vultur, en mars. Selon ArsTechnica, Vultur renonce à la méthode auparavant standard de capture des informations d'identification et utilise à la place l'informatique de réseau virtuel (VNC) avec des capacités d'accès à distance pour enregistrer l'écran lorsqu'un utilisateur entre ses informations de connexion dans des applications spécifiques.
Alors que le logiciel malveillant a été découvert à l'origine en mars, les chercheurs de ThreatFabric pensent l'avoir connecté au compte-gouttes Brunhilda, un compte-gouttes de logiciels malveillants utilisé auparavant dans plusieurs applications Google Play pour distribuer d'autres logiciels malveillants bancaires.
ThreatFabric indique également que la façon dont Vultur aborde la collecte de données est différente des anciens chevaux de Troie Android. Il ne superpose pas de fenêtre sur l'application pour collecter les données que vous entrez dans l'application. Au lieu de cela, il utilise VNC pour enregistrer l'écran et relayer ces données aux mauvais acteurs qui l'exécutent.
Selon ThreatFabric, Vultur fonctionne en s'appuyant fortement sur les services d'accessibilité trouvés sur l'appareil Android. Lorsque le logiciel malveillant est lancé, il masque l'icône de l'application, puis "abuse des services pour obtenir toutes les autorisations nécessaires pour fonctionner correctement". ThreatFabric indique qu'il s'agit d'une méthode similaire à celle utilisée dans un précédent malware appelé Alien, qui, selon lui, pourrait être connecté à Vultur.
La plus grande menace apportée par Vultur est qu'il enregistre l'écran de l'appareil Android sur lequel il est installé. À l'aide des services d'accessibilité, il garde une trace de l'application en cours d'exécution au premier plan. Si cette application figure sur la liste cible de Vultur, le cheval de Troie commencera à enregistrer et capturera tout ce qui est tapé ou saisi.
De plus, les chercheurs de ThreatFabric affirment que le vautour interfère avec les méthodes traditionnelles d'installation d'applications. Ceux qui essaient de désinstaller manuellement l'application peuvent constater que le bot clique automatiquement sur le bouton de retour lorsque l'utilisateur atteint l'écran des détails de l'application, ce qui les empêche d'atteindre le bouton de désinstallation.
ArsTechnica note que Google a supprimé toutes les applications du Play Store connues pour contenir le compte-gouttes Brunhilda, mais il est possible que de nouvelles applications apparaissent à l'avenir. En tant que tels, les utilisateurs ne doivent installer que des applications de confiance sur leurs appareils Android. Alors que Vultur cible principalement les applications bancaires, il est également connu pour enregistrer les entrées clés pour des applications telles que Facebook, WhatsApp et d'autres applications de médias sociaux.
