Malware-ul Vultur afectează platformele Android

Cercetătorii de securitate de la ThreatFabric, au descoperit recent un nou troian bancar pentru Android care se bazează pe înregistrarea ecranului și pe keylogging pentru capturarea datelor de conectare.

Acest malware este denumit Vultur și a fost descoperit pentru prima dată în martie 2021. Acesta obține vizibilitate deplină asupra dispozitivului țintă prin utilizarea VNC (Virtual Network Computing) de la AlphaVNC. Accesul de la distanță la serverul VNC de pe dispozitiv este frunizat prin ngrok, care utilizează tunelurile securizate pentru a fi expuse terminalelor Internet situate în spatele NAT-urilor și firewall-urilor.

ThreatFabric, a declarat că malware-ul pentru Android utilizează serviciile de accesibilitate pentru a identifica aplicația care rulează în prim-plan, iar dacă aplicația se află pe dispozitivele utilizatorilor, malware-ul începe înregistrarea de ecran. Mascat ca o aplicație numită Protection Guard, malware-ul Vultur proiectează ecranul, o operație vizibilă în panoul de notificare.

Acest tip de malware folosește serviciile de accesibilitate pentru a exploata datele bancare și conturile utilizatorilor. Aceștia folosesc de obicei suprapuneri HTML pentru a înșela utilizatorii ca să își dezvăluie datele de conectare. Malware-ul Vultur folosește suprapunerea pentru a avea acces la toate permisiunile de care are nevoie pentru a rula pe dispozitivul compromis.

De asemenea, acest tip de malware folosește overlays pentru a obține acces la toate permisiunile pentru a rula pe dispozitivul compromis. Folosește serviciile de accesibilitate pentru a înregistra toate tastele pe care utilizatorul le apasă pe ecran și împiedică victima să șteargă malware-ul prin dezinstalare manuală. Când utilizatorul intră în detaliile aplicației, malware-ul dă click automat pe butonul „Înapoi”, pentru a-l aduce din nou pe ecranul principal.

Malware-ul vizează diverse aplicații bancare, concentrându-se în principal pe utilizatorii din Australia, Italia și Spania. Au fost observate și unele victime din Olanda și Marea Britanie, dar într-un număr mult mai mic.

Potrivit ThreatFabric campania Vultur este legată de Brunhilda care a livrat în trecut Alien, o variantă a malware-ului bancar Cerberus care a fost observat în Google Play în urmă cu câteva luni.

Malware-ul Brunhilda a fost asociat cu malware-ul Vultur având aceeași pictogramă, același nume de pachet și același server de comandă și control și are peste 5.000 de instalări.

Sursa: https://www.securityweek.com/android-banking-trojan-vultur-abusing-accessibility-services

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică