Újdonságról számolt be az androidos kártevők piacán a ThreatFabric biztonsági cég, az általa Vultur névre keresztelt androidos trójai eddig nem látott módon lopja többek közt mobilbanki és kriptovalutás appokból a neveket és a jelszavakat. Az efféle adatlopók általában hamis belépőfelületeket próbálnak megjeleníteni a valódiak felett, ezzel szemben a Vultur távoli hozzáférést lehetővé tevő komponensen át közvetíti a mobil kijelzőjének tartalmát a bűnözők szervereire.
A Vulture nagy érdekessége, hogy a készítői távolról is képesek a telefonokról kapott, valós idejű kép alapján adatbevitelt szimulálni, így ha például az áldozat feloldja a mobilbankos vagy kriptopénztárcás appját, akkor teljesen gépi módon, koppintásokat mímelve pillanatok alatt elutalhatják a pénzét.
Ezt persze látni fogja az áldozat, de ha minden jól megy a támadó számára, akkor nem lesz elég ideje felocsúdnia a döbbenetből és tenni valamit a pénzküldések meghiúsítása érdekében, főleg esetleges ellenlépéseket jelenléte mellett. Az áldozat készülékén való garázdálkodás további előnye, hogy a bankok csalásfigyelő rendszerei jóval kisebb eséllyel detektálják a tranzakciót.
A Vulturt telepítő kódot eddig két a Google Play Áruházba feltöltött appban (Protection Guard, Authenticator 2FA) detektálták, ezek összesen olyan 5000 telepítést hoztak össze a boltból való törlésük előtt. A támadók 103 mobilbanki és kriptopénztárcás app figyelésére képesek a kártevővel, elsősorban ausztrál, spanyol és olasz pénzintézeteket vettek célba, magyar bank nincs a listájukon. Ezek mellett a kártevőjükkel WhatsApp, Viber, TikTok és Facebook belépési adatokat is lopnak.
A kártevő a legegyszerűbben onnan ismerhető fel, hogy egy támadott app megnyitásakor megjelenik az Android értesítési felületén a kijelző tartalmának a közvetítését jelző ikon. A törlését nehezíti, hogy lehetetlenné teszi a Beállítások alkalmazásban a telepített appokat felsoroló felület megnyitását, legrosszabb esetben vissza kell állítani gyári alaphelyzetbe a készülék szoftverét a kiirtásához.
Az orosz Dr. Web biztonsági cég beszámolója szerint újabb súlyos adatbiztonsági incidens történt az Android hivatalos programboltjában, egy kínainak tűnő bűnözői csoport kilenc appja is facebookos neveket és jelszavakat lopott. A kártevő alkalmazások összesen ~6,6 millió telepítést tudtak felmutatni a Play Áruházból való törlésük előtt, így vélhetően óriási mennyiségű felhasználótól tudták ténylegesen megszerezni a belépési adataikat.
A csalás egyszerűen működött: elindításuk után a kártevő appok betöltötték a Facebook legitim belépési oldalát, majd azon egy további szkriptet futtatva kilopták a felhasználók által beírt neveket és jelszavakat. A sikeres belépést követően a hitelesítő sütiket is kilopták a bűnözők, ezek használatával képesek lehetnek az olyan fiókokban is garázdálkodni, amelyeket kétlépcsős hitelesítés véd.
A kártevő appok nevei:
PIP Photo (5,8 milliónál is több letöltés)
Processing Photo (500 ezernél is több letöltés)
Rubbish Cleaner (100 ezernél is több letöltés)
Inwell Fitness (100 ezernél is több letöltés)
Horoscope Daily (100 ezernél is több letöltés)
App Lock Keep (50 ezernél is több letöltés)
Lockit Master (ötezernél is több letöltés)
Horoscope Pi (ezer letöltés)
App Lock Manager (tíz letöltés)
A kérdéses alkalmazásokat azonnal el kell távolítani az eszközökről. Akik beléptek az appok által feldobott felületeken keresztül a Facebookra, azok azonnal változtassák meg a jelszavukat, majd a közösségi hálózat Biztonság és bejelentkezés menüjének Bejelentkezett helyek részében jelentkezzenek ki minden eszközről. Az utóbbival véglegesen kitehető a bűnözők szűre a fiókokból, érvényteleníti a lopott sütiket, cserébe minden eszközön újból be kell majd lépni a portálra.
