Pesquisadores de segurança descobriram uma nova versão do trojan bancário Vultur para Android que inclui capacidades avançadas de controle remoto e um mecanismo de evasão aprimorado.
Os pesquisadores da empresa de detecção de fraudes ThreatFabric documentaram inicialmente o malware em março de 2021 e, no final de 2022, observaram sua distribuição através da Google Play por meio de aplicativos disfarçados (droppers).
No fim de 2023, a plataforma de segurança móvel Zimperium incluiu o Vultur em sua lista dos dez trojans bancários mais ativos do ano, observando que nove de suas variantes visavam 122 aplicativos bancários em 15 países.
Um relatório da Fox-IT, parte do NCC Group, alerta que uma versão nova e mais evasiva do Vultur se propaga às vítimas por meio de um ataque híbrido que depende de smishing (phishing por SMS) e ligações telefônicas que enganam os alvos para instalar uma versão do malware que se disfarça como o aplicativo McAfee Security.
A mais recente cadeia de infecção do Vultur começa com a vítima recebendo uma mensagem SMS alertando sobre uma transação não autorizada e instruindo a ligar para um número fornecido para orientação.
A ligação é atendida por um fraudador que persuade a vítima a abrir o link que chega com um segundo SMS, que direciona para um site que oferece uma versão modificada do aplicativo McAfee Security.
Dentro do app McAfee Security trojanizado, está o dropper de malware 'Brunhilda'.
Após a instalação, o app decifra e executa três payloads relacionadas ao Vultur (dois APKs e um arquivo DEX) que obtêm acesso aos Serviços de Acessibilidade, inicializam os sistemas de controle remoto e estabelecem uma conexão com o servidor de comando e controle (C2).
A versão mais recente do malware Vultur analisada pelos pesquisadores mantém várias características-chave das iterações anteriores, como gravação de tela, keylogging e acesso remoto via AlphaVNC e ngrok, permitindo aos atacantes monitoramento e controle em tempo real.
Comparada às variantes antigas, a nova versão do Vultur introduziu uma série de novos recursos, incluindo:
Ações de gerenciamento de arquivos, incluindo download, upload, deleção, instalação e localização de arquivos no dispositivo.
Uso dos Serviços de Acessibilidade para realizar cliques, rolagens e movimentos de arrastar.
Bloqueio de apps específicos de serem executados no dispositivo, exibindo HTML personalizado ou uma mensagem de "Temporariamente Indisponível" para o usuário.
Exibição de notificações personalizadas na barra de status para enganar a vítima.
Desativação do Keyguard para contornar a segurança da tela de bloqueio e obter acesso irrestrito ao dispositivo.
Além desses recursos, a versão mais recente do Vultur também adicionou novos mecanismos de evasão, como a criptografia de suas comunicações C2 (AES + Base64), o uso de múltiplos payloads criptografados que são decifrados em tempo real quando necessários e o disfarce de suas atividades maliciosas sob o manto de aplicativos legítimos.
Adicionalmente, o malware usa código nativo para decifrar o payload, o que torna o processo de engenharia reversa mais difícil e também ajuda a evitar detecção.
Os pesquisadores observam que os desenvolvedores do Vultur parecem ter se focado em aprimorar o recurso de controle remoto sobre dispositivos infectados com comandos para rolagem, gestos de arrastar, cliques, controle de volume e bloqueio de apps de serem executados.
É claro que o autor do malware fez um esforço para melhorar o disfarce do malware e adicionar novas funções em um ritmo acelerado, indicando que versões futuras provavelmente adicionarão mais capacidades.
Para minimizar o risco de infecções por malware em Android, recomenda-se aos usuários baixar aplicativos apenas de repositórios reputáveis, como a loja oficial do Android, Google Play, e evitar clicar em URLs em mensagens.
É sempre uma boa ideia verificar as permissões que um app solicita ao ser instalado e garantir que você consente apenas com as necessárias para a funcionalidade principal do aplicativo.
Por exemplo, um app de gerenciamento de senhas não deve requerer acesso à câmera ou microfone do telefone.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...