Cercetătorii de securitate au descoperit o nouă versiune a troianului bancar Vultur pentru Android care include capacități mai avansate de control la distanță și un mecanism de evitare îmbunătățit.
Cercetătorii de la compania de detecție a fraudelor ThreatFabric au documentat pentru prima dată malware-ul în martie 2021 și la sfârșitul anului 2022 l-au observat fiind distribuit prin Google Play prin intermediul aplicațiilor dropper.
La sfârșitul anului 2023, platforma de securitate mobilă Zimperium a inclus Vulturul în topul celor mai active troieni bancari pentru anul respectiv, remarcând că nouă dintre variantele sale au vizat 122 de aplicații bancare din 15 țări.
Un raport de la Fox-IT, parte a NCC Group, avertizează că o nouă versiune mai evazivă a Vultur se răspândește către victime printr-un atac hibrid care se bazează pe smishing (phishing prin SMS) și apeluri telefonice care păcălesc țintele să instaleze o versiune a malware-ului care se prezintă ca aplicația McAfee Security.
Ultimul lanț de infectare al lui Vultur începe cu victima primind un mesaj SMS care avertizează despre o tranzacție neautorizată și instruiește să suni la un număr furnizat pentru îndrumare.
Apelul este preluat de un escroc care convinge victima să deschidă link-ul primit împreună cu un al doilea SMS, care îndreaptă către un site care oferă o versiune modificată a aplicației McAfee Security.
În interiorul aplicației McAfee Security troianizate se află dropper-ul de malware „Brunhilda”.
La instalare, aplicația decriptează și execută trei payload-uri legate de Vultur (două APK-uri și un fișier DEX) care obțin acces la Serviciile de Accesibilitate, initializează sistemele de control la distanță și stabilesc o conexiune cu serverul de comandă și control (C2).
Cea mai recentă versiune a malware-ului Vultur pe care cercetătorii au analizat-o păstrează mai multe caracteristici cheie din iterațiile anterioare, cum ar fi înregistrarea ecranului, keylogging-ul și accesul la distanță prin intermediul AlphaVNC și ngrok, permițând atacatorilor monitorizarea și controlul în timp real.
În comparație cu variantele vechi, noul Vultur a introdus o serie de caracteristici noi, printre care:
În plus față de aceste caracteristici, cea mai recentă versiune Vultur a adăugat și mecanisme noi de evitare, cum ar fi criptarea comunicării sale C2 (AES + Base64), utilizarea mai multor payload-uri criptate care sunt decriptate pe măsură ce sunt necesare și mascarea activităților sale malicioase sub aparența de aplicații legitime.
În plus, malware-ul folosește cod nativ pentru a decripta payload-ul, ceea ce face procesul de reverse engineering mai dificil și ajută de asemenea la evitarea detectării.
Cercetătorii remarcă faptul că dezvoltatorii lui Vultur par să se fi concentrat pe îmbunătățirea funcției de control la distanță asupra dispozitivelor infectate cu comenzi pentru derulare, gesturi de glisare, clicuri, controlul volumului și blocarea aplicațiilor de rulare.
Este clar că autorul malware-ului a depus eforturi pentru a îmbunătăți furtuna malware-ului și pentru a adăuga noi funcționalități într-un ritm rapid, indicând faptul că versiunile viitoare vor adăuga probabil mai multe capacități.
Pentru a minimiza riscul de infectare cu malware pe Android, utilizatorilor li se recomandă să descarce aplicații doar din depozite de încredere, cum ar fi Google Play oficial și să evite să le obțină din URL-uri din mesaje.
Este întotdeauna o idee bună să verificați permisiunile pe care o aplicație le solicită la instalare și să vă asigurați că consimțiți doar la cele necesare pentru funcționalitatea aplicației. De exemplu, o aplicație de gestionare a parolelor nu ar trebui să solicite acces la camera sau microfonul telefonului.
Anatsa malware-ul Android descărcat de 150.000 de ori prin Google Play
Un nou malware Android, iOS „Gold Pickaxe” fură fața ta pentru fraudă
Malware-ul Android PixPirate folosește o nouă tactică de ascundere pe telefoane
Hoții abuzează de Google Cloud Run într-o campanie masivă de troieni bancari
Malware-ul Android XLoader poate acum să se autoexecute după instalare
Leave a Reply