Der Trojaner „Vultur“ befällt Android-Geräte und zielt hier auf Login-Daten ab, wie etwa Passwörter für Online-Banking oder E-Wallets für Kryptowährungen!
Das in den Niederlanden ansässige Sicherheitsunternehmen „Threat Fabric“ hat diesen Trojaner entdeckt, der mit Bildschirmaufzeichnungs-Funktionen der Geräte arbeitet, um Daten abzugreifen.
Remote-Access-Trojaner
„Vultur“ ist ein Remote-Access-Trojaner, was bedeutet, dass er von extern auf Geräte der Nutzer zugreifen kann. Dazu wird Virtual Network Computing (VNC) verwendet, wodurch Inhalte aufgezeichnet werden können.
Um Vultur auf Smartphones von Nutzern zu bekommen, stellten die Cyberkriminellen die App „Protection Guard“ in den Google Play Store. Und ist der Trojaner mal auf dem Smartphone, nutzt er die Bildschirmaufzeichnung, um mitzufilmen, was die Opfer auf ihrem Gerät tun. Damit schaffen die Cyberkriminellen es, an Login-Daten von Online-Banking oder Krypto-Wallets zu gelangen.
„Zum ersten Mal sehen wir einen Android-Bank-Trojaner, der Bildschirmaufnahmen und Keylogging als Hauptstrategie einsetzt, um Anmeldedaten auf automatisierte und skalierbare Weise abzugreifen. Die Akteure haben sich gegen die übliche HTML-Overlay-Strategie entschieden, die wir normalerweise in anderen Android-Bank-Trojanern sehen: Dieser Ansatz erfordert in der Regel mehr Zeit und Aufwand für die Akteure, um relevante Informationen vom Benutzer zu stehlen. Stattdessen haben sie sich dafür entschieden, einfach aufzuzeichnen, was auf dem Bildschirm angezeigt wird, und so effektiv das gleiche Endergebnis zu erzielen“, so Forscher von Threat Fabric in einem Blogbeitrag.
Andere Malware nutzen beispielsweise gefälschte Versionen einer Online-Banking App, die über die Oberfläche der echten App gelegt wird, um so an die eingegebenen Daten zu gelangen.
Betroffen sind bisher vor allem Nutzer aus Italien, Spanien und Australien. Die gefährdeten Apps beispielsweise die Bank of Australia, Bank of Melbourne, Santander und Bitfinex.
Vultur schützt sich gegen Entfernen
Interessant auch, dass Vultur sich selbst davor schützt, einfach gelöscht zu werden. Sobald der Nutzer den Bildschirm mit den App-Details erreicht, klickt ein Bot automatisch auf die Schaltfläche „Zurück“ und schickt den Nutzer zum Hauptbildschirm mit den Einstellungen. Dadurch wird der Zugriff auf die Schaltfläche „Deinstallieren“ schlicht, aber effektiv verhindert.
Das könnte dich auch interessieren: Vorsicht: Betrugsversuch via WhatsApp!
Quelle: Threat Fabric, Standard
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)