Un malware bancario descubierto recientemente utiliza una nueva forma de registrar las credenciales de inicio de sesión en dispositivos Android.
ThreatFabric, una empresa de seguridad con sede en Amsterdam, descubrió por primera vez el nuevo malware, al que llama Vultur, en marzo. Según ArsTechnica, Vultur renuncia a la forma estándar anterior de capturar credenciales y, en su lugar, utiliza la computación de red virtual (VNC) con capacidades de acceso remoto para grabar la pantalla cuando un usuario ingresa sus datos de inicio de sesión en aplicaciones específicas.
Si bien el malware se descubrió originalmente en marzo, los investigadores de ThreatFabric creen que lo conectaron al cuentagotas de Brunhilda, un cuentagotas de malware utilizado anteriormente en varias aplicaciones de Google Play para distribuir otro malware bancario.
ThreatFabric también dice que la forma en que Vultur aborda la recopilación de datos es diferente a la de los troyanos de Android anteriores. No superpone una ventana sobre la aplicación para recopilar los datos que ingresa en la aplicación. En su lugar, utiliza VNC para grabar la pantalla y transmitir esos datos a los malos actores que lo ejecutan.
Según ThreatFabric, Vultur funciona basándose en gran medida en los servicios de accesibilidad que se encuentran en el dispositivo Android. Cuando se inicia el malware, oculta el ícono de la aplicación y luego "abusa de los servicios para obtener todos los permisos necesarios para operar correctamente". ThreatFabric dice que este es un método similar al utilizado en un malware anterior llamado Alien, que cree que podría estar conectado a Vultur.
La mayor amenaza que trae Vultur es que graba la pantalla del dispositivo Android en el que está instalado. Usando los Servicios de Accesibilidad, realiza un seguimiento de qué aplicación se está ejecutando en primer plano. Si esa aplicación está en la lista de objetivos de Vultur, el troyano comenzará a grabar y capturará todo lo que se escriba o ingrese.
Además, los investigadores de ThreatFabric dicen que vulture interfiere con los métodos tradicionales de instalación de aplicaciones. Aquellos que intentan desinstalar manualmente la aplicación pueden descubrir que el bot hace clic automáticamente en el botón Atrás cuando el usuario llega a la pantalla de detalles de la aplicación, lo que impide que lleguen al botón de desinstalación.
ArsTechnica señala que Google ha eliminado todas las aplicaciones de Play Store que se sabe que contienen el cuentagotas de Brunhilda, pero es posible que aparezcan nuevas aplicaciones en el futuro. Como tal, los usuarios solo deben instalar aplicaciones confiables en sus dispositivos Android. Si bien Vultur se dirige principalmente a aplicaciones bancarias, también se sabe que registra entradas clave para aplicaciones como Facebook, WhatsApp y otras aplicaciones de redes sociales.
