Äskettäin löydetty pankkihaittaohjelma käyttää uutta tapaa tallentaa käyttäjätiedot Android-laitteissa. Amsterdamissa toimiva turvayhtiö ThreatFabric löysi uuden haittaohjelman, jota se kutsuu Vulturiksi, ensimmäisen kerran maaliskuussa. ArsTechnican mukaan Vultur luopuu aiemmin tavanomaisesta tunnistetietojen tallentamistavasta ja käyttää sen sijaan virtuaalista verkkolaskentaa (VNC) etäkäyttöominaisuuksilla tallentaakseen näytön, kun käyttäjä syöttää tunnistetietonsa tiettyihin sovelluksiin.Vaikka haittaohjelma löydettiin alun perin maaliskuussa, ThreatFabricin tutkijat uskovat yhdistäneensä sen Brunhilda dropperiin, haittaohjelmien dropperiin, jota aiemmin käytettiin useissa Google Play -sovelluksissa muiden pankkihaittaohjelmien jakeluun. ThreatFabric sanoo myös, että Vulturin lähestymistapa tiedonkeruuseen eroaa aiemmista Android-troijalaisista. Sovelluksen päälle ei aseteta ikkunaa sovellukseen syöttämiesi tietojen keräämiseksi. Sen sijaan se käyttää VNC:tä näytön tallentamiseen ja lähettämiseen takaisin sitä käyttäville huonoille toimijoille. ThreatFabricin mukaan Vultur toimii tukeutumalla voimakkaasti Android-laitteen esteettömyyspalveluihin. Kun haittaohjelma käynnistetään, se piilottaa sovelluskuvakkeen ja «käyttää palveluita väärin saadakseen kaikki tarvittavat luvat toimiakseen kunnolla». ThreatFabricin mukaan tämä on samanlainen menetelmä kuin aikaisemmassa Alien-nimisessä haittaohjelmassa, jonka se uskoo liittyvän Vulturiin. Vulturin suurin uhka on se, että se tallentaa sen Android-laitteen näytön, johon se on asennettu. Esteettömyyspalveluiden avulla se seuraa, mikä sovellus on käynnissä etualalla. Jos kyseinen sovellus on Vulturin kohdeluettelossa, troijalainen alkaa tallentaa ja tallentaa kaiken kirjoitetun tai syötetyn.Lisäksi ThreatFabricin tutkijat sanovat, että korppikotka häiritsee perinteisiä sovellusten asennusmenetelmiä. Ne, jotka yrittävät poistaa sovelluksen manuaalisesti, saattavat huomata, että botti napsauttaa automaattisesti Takaisin-painiketta, kun käyttäjä saapuu sovelluksen tietonäytölle, mikä estää heitä pääsemästä poistopainikkeeseen.
ArsTechnica huomauttaa, että Google on poistanut kaikki Play Kaupan sovellukset, joiden tiedetään sisältävän Brunhilda dropperin, mutta on mahdollista, että uusia sovelluksia ilmestyy tulevaisuudessa. Näin ollen käyttäjät voivat asentaa vain luotettuja sovelluksia Android-laitteilleen. Vaikka Vultur keskittyy pääasiassa pankkisovelluksiin, sen tiedetään myös kirjaavan tärkeitä syötteitä sovelluksille, kuten Facebookille, WhatsAppille ja muille sosiaalisen median sovelluksille.