Pesquisadores da empresa de detecção de fraudes ThreatFabric encontraram uma nova versão do trojan bancário Vultur para Android que inclui recursos de controle remoto mais avançados e um mecanismo de evasão aprimorado. Eles documentaram o malware pela primeira vez em março de 2021 e, no final de 2022, observaram que ele era distribuído no Google Play por meio de aplicativos dropper (conta-gotas).
No final de 2023, a plataforma de segurança móvel Zimperium incluiu o Vultur entre os dez trojans bancários mais ativos do ano, observando que nove de suas variantes tinham como alvo 122 aplicativos bancários em 15 países.
Um relatório da Fox-IT, parte do Grupo NCC, alerta que uma versão nova e mais evasiva do Vultur se espalha para as vítimas por meio de um ataque híbrido que depende de smishing (phishing por SMS) e chamadas telefônicas que enganam os alvos para que instalem uma versão do o malware que se disfarça como o aplicativo McAfee Security.
A cadeia de infecção mais recente do Vultur começa com a vítima recebendo uma mensagem SMS alertando sobre uma transação não autorizada e instruindo-a a ligar para um número fornecido para obter orientação.
A chamada é atendida por um fraudador que convence a vítima a abrir o link que chega com um segundo SMS, que direciona para um site que oferece uma versão modificada do aplicativo McAfee Security. Dentro do aplicativo McAfee Security trojanizado está o conta-gotas de malware Brunhilda.
Após a instalação, o aplicativo descriptografa e executa três cargas relacionadas ao Vultur (dois APKs e um arquivo DEX) que obtêm acesso aos serviços de acessibilidade, inicializam os sistemas de controle remoto e estabelecem uma conexão com o servidor de comando e controle (C&C).
A versão mais recente do malware Vultur analisada pelos pesquisadores mantém vários recursos importantes de iterações mais antigas, como gravação de tela, keylogging e acesso remoto via AlphaVNC e ngrok, permitindo aos invasores monitoramento e controle em tempo real.
Comparado às variantes antigas, o novo Vultur introduziu uma série de novos recursos, como ações de gerenciamento de arquivos — incluindo download, upload, exclusão, instalação e localização de arquivos no dispositivo —; uso de serviços de acessibilidade para realizar gestos de cliques, rolagem e deslizamento; bloqueio da execução de aplicativos específicos no dispositivo, exibindo HTML personalizado ou uma mensagem “temporariamente indisponível” ao usuário; exibição de notificações personalizadas na barra de status para enganar a vítima, além de induzir o usuário a desativar o Keyguard para ignorar a segurança da tela de bloqueio e obter acesso irrestrito ao dispositivo.
Veja isso
Novo trojan bancário é detectado circulando no Brasil
10 novos trojans para Android têm como alvo 985 apps bancários
Além desses recursos, a versão mais recente do Vultur também adicionou novos mecanismos de evasão, como criptografar suas comunicações C&C (AES + Base64), usar múltiplas cargas criptografadas que são descriptografadas instantaneamente quando necessário e mascarar suas atividades maliciosas sob o disfarce. de aplicativos legítimos. O malware também usa código nativo para descriptografar a carga útil, o que torna o processo de engenharia reversa mais difícil e também ajuda a evitar a detecção.
Os pesquisadores observam que os desenvolvedores do Vultur parecem ter se concentrado em melhorar o recurso de controle remoto em dispositivos infectados com comandos para rolagem, gestos de deslizar, cliques, controle de volume e bloqueio de execução de aplicativos.
Para minimizar o risco de infecções por malware no Android, recomenda-se que os usuários baixem aplicativos apenas de repositórios confiáveis, como a loja oficial de aplicativos do Android, Google Play, e evitem clicar em URLs nas mensagens.
Acesse o relatório completo da Fox-IT (em inglês) sobre o trojan bancário Vultur para Android clicando aqui.