Der neu entdeckte Trojaner "Vultur" infiziert Android-Geräte, um Login-Daten zu stehlen. Gefunden wurde er, wie "Hacker News" berichtet, von der niederländischen Sicherheitsfirma Threat Fabric. Die Malware setzt dabei auf die Bildschirmaufzeichnungsfunktion des Geräts, um Daten auszulesen. Vor allem ins Visier genommen wurden bisher Nutzerinnen und Nutzer in Italien, Spanien und Australien. Bei den Login-Daten handelt es sich etwa um Passwörter zum Onlinebanking sowie E-Wallets für Kryptowährungen wie Bitcoin. Betroffen sind dutzende Apps, darunter etwa die Bank of Australia und Bank of Melbourne, Santander und Bitfinex. Ein zusätzlicher Key-Logger wird außerdem bei sozialen Medien wie Whatsapp und Facebook eingesetzt.

Der Name Vultur – eine abgewandelte Form des englischen Begriffs für Geier – wurde gewählt, weil die Malware dabei auf Virtual Network Computing (VNC) setzt. Dabei handelt es sich um ein System, das Geräte aus der Ferne steuern kann und vor allem während der Pandemie auf mehr Nachfrage gestoßen ist. Dabei ist es auch möglich, Inhalte aufzuzeichnen und mit anderen zu teilen – wodurch der Bildschirm auch von außen ausgespäht werden kann.

Bildschirm aufzeichnen statt Oberfläche ändern

Vultur ist ein Remote-Access-Trojaner, also eine Malware, die von außen auf Geräte von Betroffenen zugreift. Als Köder nutzten unbekannte Cyberkriminelle eine App namens "Protection Guard", die in Googles Play Store zur Verfügung gestellt wurde. Den Sicherheitsforschern von Threat Fabric zufolge setzten Hacker erstmals darauf, den Bildschirm aufzuzeichnen. Anstatt etwa eine gefälschte HTML-Oberfläche zu erstellen und diese Nutzern unterzujubeln, wird einfach das gefilmt, was User sowieso am Gerät tun. Das bräuchte wohl weitaus weniger Zeit und Aufwand. Andere Malware dieser Art erstellte bisher eine gefälschte Version einer Bankplattform, die die Oberfläche der echten App überlappt.

Die Malware schützt sich selbst davor, einfach entfernt zu werden, indem sie die "Zurück"-Taste bedient, wenn User in den Einstellungen bei Android auf diese navigieren. Spannend sei laut den Sicherheitsforschern vor allem, dass keine bereits bestehende Malware, die im Darknet "gemietet" wird, zum Einsatz kommt, sondern stattdessen eine Art "private" Schadsoftware entwickelt wurde, die genau an die Ziele der Angreifer angepasst ist. (red, 2.8.2021)