Pesquisadores de segurança descobriram o Vultur, uma nova versão do Trojan bancário Android que inclui recursos de controle remoto mais avançados e mecanismos de evasão aprimorados.
Pesquisadores da empresa de detecção de fraudes ThreatFabric registraram o malware pela primeira vez em março de 2021 e observaram sua distribuição no Google Play por meio de aplicativos conta-gotas no final de 2022.
No final de 2023, a plataforma de segurança móvel Zimperium incluiu o Vultur entre os 10 cavalos de Troia bancários mais ativos do ano, observando que nove de suas variantes tinham como alvo 122 aplicativos bancários em 15 países.
Uma versão nova e mais evasiva do Vultur está se espalhando para as vítimas por meio de um ataque híbrido que depende de smishing (phishing por SMS) e chamadas telefônicas, enganando os alvos para que usem o Vultur, relata a Fox-IT, parte do Grupo NCC. de Malware disfarçado de aplicativo de segurança da McAfee.
A nova cadeia de infecção do Vultur
A mais recente cadeia de infecção do Vultur começa quando as vítimas recebem uma mensagem SMS alertando-as sobre uma transação fraudulenta e instruindo-as a ligar para um número designado para obter instruções.
A ligação é atendida por um golpista que convence a vítima a abrir o link recebido no segundo SMS. Este link o levará a um site que fornece uma versão modificada do aplicativo McAfee Security.
Dentro do aplicativo McAfee Security trojanizado há um conta-gotas de malware “Brunhilda”.
Após a instalação, o aplicativo descriptografa e executa três cargas úteis relacionadas ao Vultur (dois APKs e um arquivo DEX) para obter acesso aos serviços de acessibilidade, inicializar o sistema de controle remoto e executar comando e controle (C2) Estabelecer uma conexão com o servidor.
Novas características
A versão mais recente do malware Vultur analisada pelos pesquisadores mantém alguns recursos importantes das versões mais antigas, incluindo gravação de tela, keylogging e acesso remoto via AlphaVNC e ngrok, permitindo que invasores realizem monitoramento em tempo real e permite controle.
Comparado às variantes mais antigas, o novo Vultur apresenta vários novos recursos, incluindo:
- Ações de gerenciamento de arquivos, como download, upload, exclusão, instalação e pesquisa de arquivos em seu dispositivo.
- Use serviços de acessibilidade para realizar gestos de clicar, rolar e deslizar.
- Bloqueie a execução de aplicativos específicos no dispositivo e exiba HTML personalizado ou uma mensagem “Temporariamente indisponível” aos usuários.
- Exibindo notificações personalizadas na barra de status para enganar as vítimas.
- Desativar o Keyguard ignora a segurança da tela de bloqueio e oferece acesso irrestrito ao seu dispositivo.
Além desses recursos, a versão mais recente do Vultur também suporta criptografia de comunicações C2 (AES + Base64), uso de múltiplas cargas criptografadas que são descriptografadas instantaneamente, se necessário, e intenção maliciosa disfarçada como Novos mecanismos de evasão também foram adicionados, como ocultar certas atividades. de um aplicativo legítimo.
Além disso, o malware usa código nativo para descriptografar a carga, dificultando o processo de engenharia reversa e também ajudando a evitar a detecção.
Os pesquisadores dizem que os desenvolvedores do Vultur se concentraram em melhorar as capacidades de controle remoto de dispositivos infectados usando comandos como rolagem, gestos de deslizar, cliques, controle de volume e bloqueio de execução de aplicativos.
É claro que os autores do malware fizeram esforços para melhorar a furtividade do malware e adicionar novos recursos em um ritmo rápido, e versões futuras provavelmente adicionarão ainda mais recursos.
Para minimizar o risco de infecção por malware no Android, recomendamos que os usuários baixem apenas aplicativos de repositórios confiáveis, como a loja oficial de aplicativos do Android ou o Google Play, e evitem clicar em URLs nas mensagens.
Sempre recomendamos verificar as permissões solicitadas por um aplicativo durante a instalação e concordar apenas com as permissões necessárias para a funcionalidade principal do aplicativo. Por exemplo, um aplicativo de gerenciamento de senhas não deve exigir acesso à câmera ou ao microfone do seu telefone.
