Byl objeven nový malware, který z telefonů s operačním systémem Android krade údaje k bankovním účtům, sociálním sítí a ke krypto-peněženkám. Malware se jménem Vultur, neboli v překladu Sup, zatím zasáhl Itálii, Španělsko a Austrálii.
Sup je velký dravý pták, který se specializuje na napadání slabých a bezmocných zvířat. Tito dravci dlouho sledují svou kořist, než se odhodlají k útoku. K útoku dojde, až když si jsou jisti, že je smrtící a úspěšný. Nově objevený malware funguje velmi podobným způsobem.
Stejně jako tito velcí ptáci i tento malware sleduje vše, co se děje, a to pomocí funkce nahrávání obrazovky. Nahraná obrazovka se potom posílá na útočníkovy servery.
Pokud Vultur detekuje, že se uživatel přihlašuje do online bankovnictví nebo na sociální síť, aktivuje se. Poté ukradne všechny potřebné informace k provedení podvodu, jako je uživatelské jméno bankovního účtu, heslo a přístupové tokeny.
Malware dokonce proklouznul do obchodu Google Play
Vultur se do telefonů instaluje pomocí „dropperu“ s názvem Brunhilda. Ten je přítomen v několika aplikacích pro zabezpečení telefonu a fitness. Některé z nich byly dokonce nalezeny v obchodě Google Play. Infikované aplikace fungují tak, jak uživatel očekává, ale v zákulisí se Brunhilda spojí s malwarovými servery a stáhne Vultur (nebo jiný malware).
Jedna z infikovaných aplikací s názvem Protection Guard měla více než 5 000 instalací, než byla z Google Play odstraněna. Portál ThreatFabric odhaduje, že Brunhildou mohlo být infikováno až 30 000 telefonů. Pokud jde konkrétně o malware Vultur, odhaduje ThreatFabric počet potenciálních obětí na tisíce.
Jak Vultur funguje
Vultur využívá ke krádeži údajů službu „Usnadnění“, která má pomoci uživatelům se zrakovým nebo sluchovým postižením používat telefon. Služba Usnadnění například umožňuje jedné aplikaci přečíst, co je na obrazovce jiné aplikace.
Protože však tato služba poskytuje aplikacím neobvyklý přístup k sobě navzájem, daleko nad rámec toho, co je v systému Android běžně povoleno, je služba často zneužívána škodlivým softwarem, který krade informace. Vultur tuto funkci dokonce využívá k ovládaní obrazovky, pokud se uživatel pokusí infikovanou aplikaci odstranit – okamžitě stiskne tlačítko Zpět.