Истражувачите од безбедносната фирма ThreatFabric објавија на блогот од нивната веб-страница дека во Android апликациите преземени од Google Play откриле случаи на нов вид малициозен софтвер којшто се обидува да ги украде банкарските информации за најава. Тимот го нарече новиот злонамерен софтвер Мршојадец (Vultur), според птиците што се хранат од ранетите или мртвите животни.
Тимот на ThreatFabric забележува дека при претходните случаи за крадење на банкарските информации за најава и лозинката од корисниците на уреди базирани на Андроид, напаѓачите користеле измама со т.н. “преклопувања”, при кои лажниот приказ на страницата се поставува врз страницата за најава на апликацијата, па податоците внесени во неа потоа се пренесуваат до хакерите. Кај новата детектирана закана, софтверот Мршојадец користи код за да го препознае моментот кога се користи формуларот за внесување податоци, по што веднаш прави слика од екранот и потоа започнува со забележување на податоците што се внесуваат, т.н. keylogging. Сите податоци што малициозниот софтвер ги забележал се пренесуваат до местото коешто го одредиле креаторите на малверот.
Тимот на ThreatFabric забележува дека засега Мршојадецот најмногу ги погодил луѓето што живеат во Италија, Австралија, Велика Британија и Холандија, и дека иако се чини дека главна мисија на софтверот е бележење на банкарските информации за најава, откриени се и случаи каде keylogging бил правен и кај апликациите за социјални медиуми, како што се TikTok, Facebook и WhatsApp. Покрај тоа биле забележани и неколку случаи на таргетирање апликации за работа со криптовалути.
Малициозниот софтвер може да се провлече низ заштитата на корисничките уреди со користење на помошниот код т.н. dropper – Brunhilda, којшто е пронајден во неколку апликации наменети за безбедност на телефонот, за фитнес и за автентикација – сите присутни на Google Play. Тимот на ThreatFabric проценува дека досега со Брунхилда се заразени околу 30 000 уреди кои користат Андроид, што укажува на тоа дека постои голема веројатност илјадници корисници да се заразени и со Мршојадецот. Исто така било забележано дека на заразените уреди Мршојадецот ги користи Андроид услугите за олеснета пристапност – Accessibility Services, за да ги спречи корисниците да го отстранат софтверот од нивниот уред , на тој начин што при ваквите обиди го активира копчето за откажување, односно враќање назад (Back button).
Корисниците можат да го спречат малициозниот софтвер во крадењето на нивните податоци со едноставо одбивање на пристап при добивање на нотификацијата од Услугите за пристапност. Присуството на малициозниот софтвер може да се детектира и со појавата на иконата за емитување податоци кон други уреди (cast icon) којашто се појавува и кога корисниците не ја користат оваа опција. Како превентива од ThreatFabric предлагаат инсталирање на антивирусни апликации за Android.