हाल ही में खोजा गया बैंकिंग मैलवेयर Android उपकरणों पर लॉगिन क्रेडेंशियल रिकॉर्ड करने के लिए एक नए तरीके का उपयोग करता है।
एम्स्टर्डम स्थित एक सुरक्षा फर्म थ्रेटफैब्रिक ने सबसे पहले मार्च में नए मैलवेयर की खोज की, जिसे वह वल्चर कहते हैं। ArsTechnica के अनुसार, Vultur क्रेडेंशियल कैप्चर करने के पहले के मानक तरीके को छोड़ देता है और इसके बजाय वर्चुअल नेटवर्क कंप्यूटिंग (VNC) का उपयोग रिमोट एक्सेस क्षमताओं के साथ स्क्रीन को रिकॉर्ड करने के लिए करता है जब कोई उपयोगकर्ता विशिष्ट एप्लिकेशन में अपना लॉगिन विवरण दर्ज करता है।
जबकि मैलवेयर मूल रूप से मार्च में खोजा गया था, थ्रेटफैब्रिक के शोधकर्ताओं का मानना है कि उन्होंने इसे ब्रूनहिल्डा ड्रॉपर से जोड़ा है, एक मैलवेयर ड्रॉपर जो पहले कई Google Play ऐप्स में अन्य बैंकिंग मैलवेयर वितरित करने के लिए उपयोग किया जाता था।
ThreatFabric का यह भी कहना है कि जिस तरह से Vultur डेटा इकट्ठा करने का तरीका अपनाता है, वह पिछले Android ट्रोजन से अलग है। यह आपके द्वारा ऐप में दर्ज किए गए डेटा को एकत्र करने के लिए एप्लिकेशन पर एक विंडो को सुपरइम्पोज़ नहीं करता है। इसके बजाय, यह स्क्रीन को रिकॉर्ड करने के लिए VNC का उपयोग करता है और उस डेटा को वापस चलाने वाले बुरे अभिनेताओं को रिले करता है।
थ्रेटफैब्रिक के अनुसार, वल्चर एंड्रॉइड डिवाइस पर मिलने वाली एक्सेसिबिलिटी सर्विसेज पर बहुत अधिक भरोसा करके काम करता है। जब मैलवेयर शुरू होता है, तो यह ऐप आइकन छुपाता है और फिर "ठीक से संचालित करने के लिए सभी आवश्यक अनुमतियां प्राप्त करने के लिए सेवाओं का दुरुपयोग करता है।" थ्रेटफैब्रिक का कहना है कि यह एलियन नामक पिछले मैलवेयर में इस्तेमाल की गई विधि के समान है, जिसके बारे में उसका मानना है कि इसे वल्चर से जोड़ा जा सकता है।
सबसे बड़ा खतरा Vultur लाता है कि यह उस Android डिवाइस की स्क्रीन रिकॉर्ड करता है जिस पर इसे इंस्टॉल किया गया है। एक्सेसिबिलिटी सेवाओं का उपयोग करके, यह ट्रैक करता है कि अग्रभूमि में कौन सा एप्लिकेशन चल रहा है। यदि वह एप्लिकेशन Vultur की लक्ष्य सूची में है, तो ट्रोजन रिकॉर्डिंग शुरू कर देगा और टाइप की गई या दर्ज की गई किसी भी चीज़ को कैप्चर कर लेगा।
इसके अतिरिक्त, थ्रेटफैब्रिक शोधकर्ताओं का कहना है कि गिद्ध ऐप्स इंस्टॉल करने के पारंपरिक तरीकों में हस्तक्षेप करते हैं। जो लोग एप्लिकेशन को मैन्युअल रूप से अनइंस्टॉल करने की कोशिश कर रहे हैं, वे पा सकते हैं कि जब उपयोगकर्ता ऐप विवरण स्क्रीन पर पहुंचता है, तो बॉट स्वचालित रूप से बैक बटन पर क्लिक करता है, प्रभावी रूप से उन्हें अनइंस्टॉल बटन तक पहुंचने से रोक देता है।
ArsTechnica नोट करता है कि Google ने उन सभी Play Store ऐप्स को हटा दिया है जिनमें ब्रूनहिल्डा ड्रॉपर शामिल है, लेकिन यह संभव है कि भविष्य में नए ऐप्स दिखाई दे सकें। जैसे, उपयोगकर्ताओं को केवल अपने Android उपकरणों पर विश्वसनीय ऐप्स इंस्टॉल करना चाहिए। जबकि वल्चर ज्यादातर बैंकिंग अनुप्रयोगों को लक्षित करता है, यह फेसबुक, व्हाट्सएप और अन्य सोशल मीडिया ऐप जैसे अनुप्रयोगों के लिए महत्वपूर्ण इनपुट लॉग करने के लिए भी जाना जाता है।
