Un brutto trojan per Android che prende di mira le applicazioni bancarie, di social media e di criptovalute ruba le tue informazioni alla vecchia maniera: Registra tutto ciò che accade sullo schermo del tuo telefono.
Il malware, soprannominato “Vultur” dai ricercatori della società di sicurezza informatica ThreatFabric di Amsterdam, prende di mira le applicazioni delle banche in Australia, Italia, Spagna, Paesi Bassi e Regno Unito; le applicazioni dei social media tra cui Facebook, WhatsApp e TikTok; e le applicazioni di criptovaluta di Binance, Coinbase e altre.
Vultur viene installato sui telefoni Android da un “dropper” chiamato Brunhilda, che è presente in diverse app di fitness, sicurezza del telefono e autenticazione, alcune delle quali sono state trovate nel negozio Google Play. Le app infette funzionano come l’utente si aspetta, ma dietro le quinte, Brunhilda raggiunge i server malware e scarica Vultur (o altri malware).
Un’app infetta chiamata Protection Guard aveva più di 5.000 installazioni prima di essere rimossa da Google Play.
ThreatFabric stima che 30.000 telefoni possano essere stati infettati da Brunhilda. Per quanto riguarda Vultur in particolare, il rapporto di ThreatFabric dice che “stimiamo che il numero di potenziali vittime sia nell’ordine delle migliaia”.
La maggior parte dei trojan bancari per Android rubano le credenziali di accesso degli utenti creando “overlay”, false schermate di accesso che sembrano appartenere ad applicazioni bancarie online molto usate. Ma Vultur adotta un altro approccio: Utilizza la tecnologia di accesso remoto per registrare semplicemente tutto ciò che il proprietario di un telefono infetto fa quando certe applicazioni vengono utilizzate.
Utilizza anche un keylogger per catturare gli input dell’utente che non sono visibili sullo schermo.
Leggi anche: I 5 Migliori Antivirus per Computer
Le registrazioni vengono trasmesse ai server gestiti dai criminali che operano Vultur, che poi possono riprodurre le registrazioni dello schermo delle vittime inconsapevoli che accedono e usano Facebook, accedono ai loro conti bancari o fanno scambi di criptovalute.
Combinato con i dati di keylogging, questo dà ai criminali una panoramica di ogni potenziale vittima che si occupa di affari di routine.
Vultur fa tutto questo abusando dei servizi di accessibilità, una funzione di Android che ha lo scopo di aiutare gli utenti con problemi visivi o uditivi, o gli utenti che potrebbero non essere in grado di vedere lo schermo.
Per esempio, i Servizi di Accessibilità permettono ad un’app di leggere ciò che è sullo schermo di un’altra app.
Ma poiché dà alle app un accesso insolito l’una all’altra, ben oltre ciò che è normalmente permesso da Android, i Servizi di accessibilità sono spesso abusati da malware che rubano informazioni. Vultur usa addirittura la funzione per dirottare lo schermo se l’utente cerca di eliminare l’app infetta – preme immediatamente il pulsante Indietro.
Gli utenti possono fermare Vultur (e molti altri trojan bancari) negando all’app infetta il permesso di utilizzare i servizi di accessibilità. Dato che Vultur spesso arriva sotto forma di un’app che non ha davvero bisogno dei servizi di accessibilità, questo non dovrebbe essere sempre difficile da individuare.
Puoi anche rilevare Vulture, dice ThreatFabric, perché quando sta trasmettendo dati al suo server di comando e controllo, l’icona “casting” attiva apparirà nelle notifiche di Android. Se non stai lanciando qualcosa e l’icona appare comunque, questo è un motivo per preoccuparsi.
Un altro modo è quello di installare e utilizzare una delle migliori applicazioni antivirus per Android.
Brunhilda è una minaccia nota e la maggior parte delle app antivirus la rileverà subito; Vultur dovrebbe essere aggiunto presto alla lista se non c’è già.
Se ti è piaciuto questo articolo leggi anche: I Migliori Antivirus Per Android Gratis con Link