Non parliamo molto spesso di malware per Android, ma quando lo facciamo, significa che la minaccia è grave. E per grave non intendiamo solamente i dati personali (visto che molto spesso la loro importanza è trascurata) ma anche i dati bancari. Eh sì perché al giorno d’oggi molti dei nostri dati bancari sono salvati sullo smartphone. Bene, è importante sapere che il malware Vulture potrebbe rubarne a bizzeffe e senza che noi ce ne accorgiamo. per fortuna ci sono dei modi per evitarlo. Vediamo come
Un nuovo malware ruba i dati bancari, ma non con la solita modalità: ha imparato a registrare lo schermo senza farsi vedere! Come riconoscerlo
Il malware Trojan di accesso remoto in questione è stato chiamato Vultur dalla società di sicurezza ThreatFabric. Utilizza un’implementazione reale di condivisione dello schermo VNC per registrare lo schermo di un dispositivo, il registro delle chiavi e rispecchiare tutto sul server. Gli utenti inseriscono inconsapevolmente le proprie credenziali in quella che ritengono essere un’app affidabile e gli aggressori quindi raccolgono le informazioni, accedono alle app su un dispositivo separato e prelevano il denaro.
Questo metodo di registrazione dello schermo è diverso dai precedenti malware bancari per Android, che si basavano su una strategia di sovrapposizione HTML. Vulture fa anche molto affidamento sull’abuso dei servizi di accessibilità sul sistema operativo del dispositivo per ottenere le autorizzazioni necessarie che gli consentiranno di accedere a ciò di cui ha bisogno per eseguire correttamente la raccolta delle credenziali.
Nel rapporto di ThreatFabric, abbiamo appreso che gli autori delle minacce sono stati in grado di raccogliere un elenco delle app che Vulture stava prendendo di mira. Queste sono state diffuse tramite il Google Play Store. Italia, Spagna e Australia sono state le regioni che hanno avuto il maggior numero di istituti bancari colpiti da Vultur. Sono stati presi di mira anche diversi portafogli crittografici.
Se l’utente scarica e apre una delle applicazioni a cui mira Vulture, il Trojan avvia la sessione di registrazione dello schermo. Gli utenti che si accorgono e cercano di eliminare l’app dannosa scopriranno rapidamente che non possono: un bot all’interno del malware fa automaticamente clic sul pulsante Indietro e rimanda l’utente alla schermata delle impostazioni principali. L’unico vantaggio che hanno gli utenti è prestare attenzione al pannello delle notifiche, che mostrerà che un’app chiamata “Protection Guard” sta proiettando lo schermo.
Via | ARSTechnica
