اكتشفت شركة الأمن السيبراني ThreatFabric برامج ضارة للأبناك تستخدم تقنية جديدة لسرقة كلمات المرور. تعرض معظم البرامج من هذا النوع صفحة ويب أعلى التطبيقات المصرفية ، مما يدفع المستخدم إلى إدخال بيانات الاعتماد الخاصة به. تعتمد هذه البرامج الضارة الجديدة ، التي يطلق عليها اسم Vultur ، على خادم VNC ، وهي تقنية تسمح لها بتسجيل وبث كل ما يحدث على الشاشة في الوقت الفعلي.
تم تثبيت Vultur بفضل Brunhildar ، البرامج الضارة الموجودة في التطبيقات الزائفة على متجر Play. وBrunhilda هو “قاطرة” ، بمعنى آخر وظيفته الوحيدة هي السماح بتثبيت برامج ضارة أخرى. يجب أن يحصل Vultur على موافقة لتسجيل الشاشة وتنفيذ الإجراءات ، وللقيام بذلك يخدع المستخدمين بعرض طبقة فوقية احتيالية.
يراقب البرنامج الضار استخدام التطبيق ويبدأ عندما يكتشف أحد التطبيقات الـ 103 المستهدفة في قائمته. ثم يلتقط شاشة الهاتف الذكي وجميع ضغطات المفاتيح للحصول على بيانات اعتماد البنك ، بالإضافة إلى تلك الخاصة بـ Facebook و Viber و TikTok. يستهدف Vultur حاليًا تطبيقات الأبناك في إيطاليا وإسبانيا وهولندا والمملكة المتحدة وأستراليا. تعتمد البرامج الضارة على العديد من التطبيقات المشروعة ، بما في ذلك AlphaVNC الخادم VNC ، و ngrok للتأكد من أنه يمكن الوصول إلى خادم VNC عن بُعد ، و Firebase من Google لتتمكن من تلقي الأوامر من خادم التحكم.
من السهل اكتشاف وجود Vultur نظرا لأن رمز “Caster” في منطقة إشعارات Android يشير إلى أن “Protection Guard” يبث الشاشة. ومع ذلك ، يصعب إزالة البرامج الضارة لأنها تقوم بتنشيط وظيفة “الرجوع” بمجرد عرض شاشة الهاتف الذكي إلغاء تثبيتها.