أصاب تطبيق متاح على متجر جوجل بلاي آلاف المستخدمين بهدف الاحتيال المصرفي، من خلال تقنية التحكم عن بعد الكلاسيكية.
اكتشف باحثو الأمن في ThreatFabric نوعًا جديدًا من أحصنة طروادة المصرفية على الهواتف الذكية التي تعمل بنظام أندرويد تسمى Vultur. يتميز هذا البرنامج الضار بخصوصية تثبيت خادم VNC (حوسبة الشبكة الافتراضية) على الجهاز، وهي تقنية تسمح بالتحكم عن بعد في أنظمة الكمبيوتر. يعتمد المتسللون، في هذه الحالة، على AlphaVNC، وهو تطبيق مخصص لأنظمة أندرويد. يتيح لك التسجيل والتفاعل مع شاشة العرض في الوقت الفعلي.
في الوقت نفسه، يستخدم المتسللون الخدمات القائمة لإدارة الاتصالات والتبادلات. وبالتالي، فإن خدمة ngrok تسمح لهم بتجاوز أي جدران حماية وخوادم NAT التي قد تقف في طريقهم، حتى يتمكنوا من الوصول إلى خادم VNC دون وقوع حوادث. كما تُستخدم خدمة الإشعارات Firebase من جوجل، أيضًا لإرسال أوامر من خادم المراقبة. أخيرًا، تمت إضافة keylogger إلى هذه الترسانة. فهو أكثر كلاسيكية، لكنه لا يزال مفيدًا.
وفقًا لـ ThreatFabric، يتناقض هذا النهج مع الطريقة المعتادة لعمل أحصنة طروادة المصرفية في أندرويد، والتي تستخدم عادةً تكتيكات التراكب. وهو يتألف من إنشاء واجهات تطبيقات وهمية يتم فرضها على تطبيقات مصرفية حقيقية لاعتراض المعرفات.
من جانبها، لا يستطيع Vultur اعتراض المعرفات فحسب، بل يمكنه أيضًا التدخل في الجهاز والاتصال بالخدمات المصرفية. وبالتالي يمكن تنفيذ الاحتيال مباشرة على جهاز الضحية، مع تجنب تسجيل معدات جديدة لدى المؤسسة المصرفية، مما سيواجه صعوبة أكبر في اكتشاف الهجوم.
تم التعرف على البرنامج الضار لأول مرة في متجر جوجل بلاي، حيث تنكر كتطبيق أمان يسمى “Protection Guard”. وبحسب ما ورد تم تثبيته أكثر من 5000 مرة، خاصة في إيطاليا وأستراليا وإسبانيا ، حيث تستهدف الشفرة الخبيثة أكثر من 100 تطبيق مصرفي وفتحات تشفير / cryptowallets.