Una nueva versión de un conocido troyano bancario para Android está circulando por Internet, robando datos confidenciales y posiblemente incluso dinero de sus víctimas.
Los investigadores de ciberseguridad de Fox-IT del Grupo NCC hicieron sonar la alarma sobre una nueva versión mejorada del troyano bancario Vultur, detectado por primera vez a principios de 2021, pero que ha recibido una serie de cambios y actualizaciones importantes desde entonces.
Mientras que las versiones anteriores se distribuían a través de aplicaciones de cuentagotas que se introducían de contrabando en el Tienda de juegos, esta nueva versión utiliza una combinación de smishing y abuso legítimo de aplicaciones. Los investigadores dijeron que los atacantes primero enviaban un mensaje SMS a sus víctimas, advirtiéndoles sobre una transacción de pago no autorizada y compartiendo un número de teléfono al que la víctima podía llamar.
Adquisición total
Si la víctima muerde el anzuelo y llama al número, el atacante la persuade para que descargue una versión comprometida de la aplicación McAfee Security. Si bien en la superficie la aplicación funciona según lo previsto, en segundo plano ofrece el cuentagotas de malware Brunhilda. Este dropper arroja tres cargas útiles, incluidos dos APK y un archivo DEX que, después de obtener los Servicios de Accesibilidad, establece una conexión con el servidor de comando y control (C2) y otorga a los atacantes control remoto sobre el dispositivo Android.
Para ser un troyano, Vultur es bastante competente. Puede grabar la pantalla, registrar las pulsaciones de teclas y otorgar a los atacantes acceso remoto a través de AlphaVNC y ngrok. Además, permite a los atacantes descargar y cargar archivos, instalar aplicaciones, eliminar archivos, hacer clic, desplazarse y deslizarse por el dispositivo y bloquear la ejecución de diferentes aplicaciones. También puede mostrar notificaciones personalizadas y desactivar Keyguard para omitir la pantalla de bloqueo.
Finalmente, Vultur cifra sus comunicaciones C2 para evadir aún más la detección.
Como de costumbre, la mejor manera de defenderse contra estas amenazas es usar el sentido común y descargar aplicaciones únicamente de repositorios legítimos y probados.
A través de pitidocomputadora