De acuerdo a Última publicación de SecurityWeekel malware bancario de Android, también conocido como Vultur, ha resurgido con una actualización importante que le brinda una amplia capacidad para interactuar con dispositivos infectados y manipular archivos. Vultur surgió inicialmente en marzo de 2021, cuando el malware infectó aplicaciones genuinas como AlphaVNC y ngrok para acceder remotamente a servidores VNC ubicados en los dispositivos de las víctimas, permitiendo así la grabación de pantalla y el registrador de teclas para el robo de credenciales.
El troyano Vultur actualizado para Android ahora puede tomar control total de los dispositivos infectados y acceder a sus archivos
La reciente edición de Vultur mejora aún más sus funciones y ahora permite un control total sobre las máquinas comprometidas. Estos incluyen interferencia con aplicaciones, publicación de notificaciones personalizadas, elusión de protecciones de pantalla de bloqueo y manipulación de archivos al descargarlos, cargarlos, instalarlos, buscarlos o eliminarlos.
A pesar de Informe del Grupo NCC indica que este malware se basa principalmente en AlphaVNC y ngrok para el acceso remoto, su última versión viene con mecanismos mejorados de evasión de detección y antianálisis. Estos implican múltiples cargas útiles, cambio de aplicaciones inocentes, código nativo para descifrar la carga útil y cifrado AES para comunicación de comando y control (C&C).
Normalmente, un mensaje SMS hace ping a la víctima y le solicita que llame inmediatamente a un número específico para gestionar una transacción no autorizada. Poco después, otro SMS llega al dispositivo que contiene una URL maliciosa que apunta a un sitio web manipulado. Seguridad McAfee paquete que sirve como gotero del propio malware.
Bajo el marco del cuentagotas llamado Brunhilda, Vultur consta de tres componentes llamados cargas útiles que tienen como objetivo facilitar las etapas posteriores de ejecución. Con estas cargas útiles implementadas, Vultur puede obtener privilegios del Servicio de Accesibilidad, configurar AlphaVNC y ngrok y realizar la funcionalidad principal de puerta trasera.
Con el control remoto, los atacantes también pueden realizar gestos y bloquearle el acceso al dispositivo.
Para admitir la interacción remota, Vultur ahora contiene siete nuevos métodos C&C permitiendo a los atacantes realizar diferentes acciones como clics, desplazamientos y gestos de deslizamiento. Cuando se habla de Firebase Cloud Messaging (FCM), también hay 41 comandos nuevos que hacen uso de esos privilegios, y la comunicación por SMS permite oportunidades sin conexiones permanentes entre fuentes.
Además, la última edición de Vultur elimina la capacidad del usuario de interactuar con determinadas aplicaciones. En resumen, el Vultur actualizado representa un peligro importante para los usuarios de Android, ya que ahora contiene control remoto sobre dispositivos infectados y manipula archivos. Por lo tanto, NCC aconseja a los propietarios de Android que sean cautelosos.