Una compañía holandesa de investigación de seguridad ha descubierto una nueva aplicación de cuentagotas de Android, llamada Vultur, que ofrece una funcionalidad lícita y después entra sigilosamente en modo malicioso cuando advierte actividades bancarias y otras actividades financieras.
Vultur, découvert par ThreatFabric, est un enregistreur de frappe qui piège les informations d'identification des institutions financières en faisant confiance à la session bancaire en cours et en volant des fonds immédiatement, de manière invisible. Et si la victime se rend compte de ce qui se passe, elle bloque l'écran. (Remarque : ayez toujours le numéro de votre banque afin qu'un appel direct à une agence locale puisse vous faire économiser de l'argent et conserver le numéro sur papier. Si vous êtes au téléphone et que le téléphone est verrouillé, vous n'aurez pas de chance). "Vultur peut surveiller quelles applications sont démarrées et également démarrer l'enregistrement d'écran/l'enregistrement des frappes lorsque l'application cible est démarrée", selon ThreatFabric. En dehors de cela, l'enregistrement d'écran démarre chaque fois que l'appareil est déverrouillé pour capturer le code PIN/mot de passe graphique utilisé pour déverrouiller l'appareil. Les analystes ont testé les capacités de Vultur sur un appareil. Réel et peut confirmer que Vultur enregistre avec succès une entrée graphique de code PIN / mot de passe. vidéo tout en déverrouillant l'appareil et en saisissant également les informations d'identification dans l'application bancaire cible. " Selon le rapport ThreatFabric, " Vultur utilise des compte-gouttes qui se présentent comme des outils auxiliaires, tels que les authentificateurs MFA, situés sur la boutique officielle Google Play comme principal moyen de distribution. . Par conséquent, il est assez difficile pour les utilisateurs finaux de faire la distinction entre les applications malveillantes. Une fois installé, Vultur masquera son icône et demandera des privilèges au service d'accessibilité pour mener à bien son activité malveillante. En disposant de ces privilèges, Vultur active également un mécanisme d'auto-défense qui complique la désinstallation : si la victime tente de désinstaller le cheval de Troie ou de désactiver l'accessibilité. privilèges de service, Vultur va fermer le menu des paramètres d'Android pour empêcher cela. " Il convient de noter que l'utilisation de données biométriques pour se connecter à une application financière, actuellement courante sur Android et iOS, est une étape énorme. Dans cette situation, cependant , ne va pas aider ici puisque l'application superpose la session en direct. Les informations biométriques seront moins utiles à l'application la prochaine fois (espérons-le) _ et ne l'aideront pas à se défendre contre l'attaque en cours. ThreatFabric a proposé 3 suggestions pour s'en sortir. Contrôle de Vultur. "Premièrement, allumez le téléphone en mode sans échec, empêchant les logiciels malveillants de s'exécuter", puis essayez de désinstaller l'application. "Deuxièmement, utilisez ADB (Android Debug Bridge) pour vous connecter à l'appareil via USB et exécutez la commande {code} désinstallation adb
{codé}. Ou effectuez une réinitialisation d'usine. " Bien que ces étapes nécessitent beaucoup de nettoyage pour revenir à l'état de fonctionnement précédent du téléphone, elles nécessitent également que la victime connaisse le nom de l'application malveillante. Il peut ne pas être facile à déterminer. , à moins que le La victime télécharge très peu d'applications qui ne sont pas très connues. Comme je l'ai suggéré dans un article récent, la meilleure défense est de s'assurer que chaque utilisateur final n'installe que des applications préalablement approuvées par le service informatique. Et si un utilisateur trouve une nouvelle application que vous souhaitez, envoyez-le au service informatique et attendez l'approbation. (D'accord, vous pouvez arrêter de rire maintenant.) Peu importe ce que dit la politique, la plupart des utilisateurs installeront ce qu'ils veulent, quand ils le veulent. Cela est tellement vrai sur un appareil appartenant à l'entreprise que ainsi que sur un appareil BYOD appartenant aux travailleurs. Pour compliquer encore davantage ce désordre, les utilisateurs ont tendance à faire implicitement confiance aux applications officiellement proposées par Google et Apple. S'il est tout à fait vrai que les deux sociétés de systèmes d'exploitation mobiles ont besoin et peuvent faire beaucoup plus pour filtrer les applications, la triste vérité est peut-être que le volume actuel de nouvelles applications peut rendre ces sacrifices inefficaces, voire inutiles.Ils ont choisi d’être une plateforme ouverte et voici les conséquences. Pensez Vautour. Même le directeur de ThreatFabric, Cengiz Han Sahin, a déclaré qu'il doutait qu'Apple ou Google aient pu bloquer Vultur, quel que soit le nombre d'analystes de sécurité et d'outils d'apprentissage automatique intégrés. "Je pense qu'ils (Google et Apple) font tout ce qu'ils peuvent. C'est trop difficile à détecter, même avec tous les nouveaux jouets dont ils disposent pour détecter ces menaces", a déclaré Sahin dans un communiqué. plateforme ouverte et voici les conséquences." Un élément clé du problème de détection réside dans le fait que les criminels à l’origine de ces droppers fournissent réellement la fonctionnalité souhaitée, avant que l’application ne devienne malveillante. Par conséquent, quelqu’un qui essaie l’application constatera sûrement qu’elle fait ce qu’elle promet. Pour trouver les aspects négatifs, un système ou une personne doit examiner attentivement tout le code. "Les logiciels malveillants ne deviennent réellement des logiciels malveillants que lorsque l'acteur décide de faire quelque chose de malveillant", a déclaré Sahin. J’aiderais également si les institutions financières faisaient un peu plus pour aider. Les cartes de paiement (débit et crédit) font un travail remarquable en signalant et en suspendant toute transaction qui semble s'écarter de la règle. Pourquoi ces institutions financières ne peuvent-elles pas effectuer des contrôles similaires pour chaque transfert d’argent en ligne ? Cela nous ramène à l’informatique. Il devrait y avoir des conséquences pour les utilisateurs qui enfreignent la politique informatique. S'appuyer sur les suggestions ci-dessus pour supprimer Vultur signifie également une possibilité certaine de perte de données. Que se passe-t-il en cas de perte de données d'entreprise ? Que se passerait-il si cette perte de données obligeait l’équipe à reprendre ses heures de travail ? Que se passe-t-il si vous retardez la livraison d'un objet dû à un utilisateur ? Est-il juste que le budget d'un secteur d'activité subisse un préjudice lorsque cela est dû à la violation d'une politique par un employé ou un entrepreneur ?
<p>Copyright © dos mil veintiuno IDG Communications, Inc.</p>