Malware bancário Vultur para Android se disfarça de app McAfee Security
1 de Abril de 2024

Pesquisadores de segurança descobriram uma nova versão do trojan bancário Vultur para Android que inclui capacidades avançadas de controle remoto e um mecanismo de evasão aprimorado.

Os pesquisadores da empresa de detecção de fraudes ThreatFabric documentaram inicialmente o malware em março de 2021 e, no final de 2022, observaram sua distribuição através da Google Play por meio de aplicativos disfarçados (droppers).

No fim de 2023, a plataforma de segurança móvel Zimperium incluiu o Vultur em sua lista dos dez trojans bancários mais ativos do ano, observando que nove de suas variantes visavam 122 aplicativos bancários em 15 países.

Um relatório da Fox-IT, parte do NCC Group, alerta que uma versão nova e mais evasiva do Vultur se propaga às vítimas por meio de um ataque híbrido que depende de smishing (phishing por SMS) e ligações telefônicas que enganam os alvos para instalar uma versão do malware que se disfarça como o aplicativo McAfee Security.

A mais recente cadeia de infecção do Vultur começa com a vítima recebendo uma mensagem SMS alertando sobre uma transação não autorizada e instruindo a ligar para um número fornecido para orientação.

A ligação é atendida por um fraudador que persuade a vítima a abrir o link que chega com um segundo SMS, que direciona para um site que oferece uma versão modificada do aplicativo McAfee Security.

Dentro do app McAfee Security trojanizado, está o dropper de malware 'Brunhilda'.

Após a instalação, o app decifra e executa três payloads relacionadas ao Vultur (dois APKs e um arquivo DEX) que obtêm acesso aos Serviços de Acessibilidade, inicializam os sistemas de controle remoto e estabelecem uma conexão com o servidor de comando e controle (C2).

A versão mais recente do malware Vultur analisada pelos pesquisadores mantém várias características-chave das iterações anteriores, como gravação de tela, keylogging e acesso remoto via AlphaVNC e ngrok, permitindo aos atacantes monitoramento e controle em tempo real.

Comparada às variantes antigas, a nova versão do Vultur introduziu uma série de novos recursos, incluindo:

Ações de gerenciamento de arquivos, incluindo download, upload, deleção, instalação e localização de arquivos no dispositivo.
Uso dos Serviços de Acessibilidade para realizar cliques, rolagens e movimentos de arrastar.
Bloqueio de apps específicos de serem executados no dispositivo, exibindo HTML personalizado ou uma mensagem de "Temporariamente Indisponível" para o usuário.
Exibição de notificações personalizadas na barra de status para enganar a vítima.
Desativação do Keyguard para contornar a segurança da tela de bloqueio e obter acesso irrestrito ao dispositivo.

Além desses recursos, a versão mais recente do Vultur também adicionou novos mecanismos de evasão, como a criptografia de suas comunicações C2 (AES + Base64), o uso de múltiplos payloads criptografados que são decifrados em tempo real quando necessários e o disfarce de suas atividades maliciosas sob o manto de aplicativos legítimos.

Adicionalmente, o malware usa código nativo para decifrar o payload, o que torna o processo de engenharia reversa mais difícil e também ajuda a evitar detecção.

Os pesquisadores observam que os desenvolvedores do Vultur parecem ter se focado em aprimorar o recurso de controle remoto sobre dispositivos infectados com comandos para rolagem, gestos de arrastar, cliques, controle de volume e bloqueio de apps de serem executados.

É claro que o autor do malware fez um esforço para melhorar o disfarce do malware e adicionar novas funções em um ritmo acelerado, indicando que versões futuras provavelmente adicionarão mais capacidades.

Para minimizar o risco de infecções por malware em Android, recomenda-se aos usuários baixar aplicativos apenas de repositórios reputáveis, como a loja oficial do Android, Google Play, e evitar clicar em URLs em mensagens.

É sempre uma boa ideia verificar as permissões que um app solicita ao ser instalado e garantir que você consente apenas com as necessárias para a funcionalidade principal do aplicativo.

Por exemplo, um app de gerenciamento de senhas não deve requerer acesso à câmera ou microfone do telefone.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...