Sebuah perisian hasad perbankan yang ditemui baru-baru ini menggunakan cara baharu untuk merekod bukti kelayakan log masuk pada peranti Android.
ThreatFabric, firma keselamatan yang berpangkalan di Amsterdam, pertama kali menemui perisian hasad baharu, yang dipanggil Vultur, pada bulan Mac. Menurut ArsTechnica, Vultur melupakan cara standard sebelum ini untuk menangkap bukti kelayakan dan sebaliknya menggunakan pengkomputeran rangkaian maya (VNC) dengan kebolehan capaian jauh untuk merakam skrin apabila pengguna memasukkan butiran log masuk mereka ke dalam aplikasi tertentu.
Walaupun perisian hasad pada asalnya ditemui pada bulan Mac, penyelidik dengan ThreatFabric percaya mereka telah menyambungkannya kepada penitis Brunhilda, penitis perisian hasad yang digunakan sebelum ini dalam beberapa apl Google Play untuk mengedarkan perisian hasad perbankan lain.
ThreatFabric juga mengatakan bahawa cara Vultur mendekati pengumpulan data adalah berbeza daripada trojan Android yang lalu. Ia tidak meletakkan tetingkap di atas aplikasi untuk mengumpul data yang anda masukkan ke dalam apl. Sebaliknya, ia menggunakan VNC untuk merakam skrin dan menyampaikan data itu kembali kepada pelakon jahat yang menjalankannya.
Menurut ThreatFabric, Vultur berfungsi dengan sangat bergantung pada Perkhidmatan Kebolehcapaian yang terdapat pada peranti Android. Apabila perisian hasad dimulakan, ia menyembunyikan ikon apl dan kemudian "menyalahgunakan perkhidmatan untuk mendapatkan semua kebenaran yang diperlukan untuk beroperasi dengan betul." ThreatFabric berkata ini adalah kaedah yang serupa dengan kaedah yang digunakan dalam perisian hasad sebelumnya yang dipanggil Alien, yang dipercayai boleh disambungkan kepada Vultur.
Ancaman terbesar yang dibawa oleh Vultur ialah ia merekodkan skrin peranti Android yang dipasang padanya. Menggunakan Perkhidmatan Kebolehcapaian, ia menjejaki aplikasi yang dijalankan di latar depan. Jika aplikasi itu berada dalam senarai sasaran Vultur, trojan akan mula merakam dan akan menangkap apa-apa yang ditaip atau dimasukkan.
Selain itu, penyelidik ThreatFabric mengatakan burung nasar mengganggu kaedah tradisional untuk memasang apl. Mereka yang cuba menyahpasang aplikasi secara manual mungkin mendapati bot mengklik butang kembali secara automatik apabila pengguna mencapai skrin butiran apl, dengan berkesan mengunci mereka daripada mencapai butang nyahpasang.
ArsTechnica menyatakan bahawa Google telah mengalih keluar semua apl Gedung Play yang diketahui mengandungi penitis Brunhilda, tetapi kemungkinan apl baharu boleh muncul pada masa hadapan. Oleh itu, pengguna hanya perlu memasang apl yang dipercayai pada peranti Android mereka. Walaupun Vultur kebanyakannya menyasarkan aplikasi perbankan, ia juga diketahui mencatatkan input utama untuk aplikasi seperti Facebook, WhatsApp dan apl media sosial yang lain.