Pesquisadores da empresa de detecção de fraudes ThreatFabric documentaram o malware pela primeira vez em março de 2021 e, no final de 2022, observaram que ele era distribuído no Google Play por meio de aplicativos conta-gotas.
No final de 2023, a plataforma de segurança móvel Zimperium incluiu o Vultur entre os 10 trojans bancários mais ativos do ano, observando que nove de suas variantes tinham como alvo 122 aplicativos bancários em 15 países.
Um relatório da Fox-IT , parte do Grupo NCC, alerta que uma nova versão mais evasiva do Vultur se espalha para as vítimas por meio de um ataque híbrido que depende de smishing (phishing por SMS) e chamadas telefônicas que enganam os alvos para que instalem uma versão do o malware que se disfarça como o aplicativo McAfee Security.
A mais recente cadeia de infecção do Vultur começa com a vítima recebendo uma mensagem SMS alertando sobre uma transação não autorizada e instruindo-a a ligar para um número fornecido para obter orientação.
A ligação é atendida por um fraudador que convence a vítima a abrir o link chegando com um segundo SMS, que direciona para um site que oferece uma versão modificada do aplicativo McAfee Security
Dentro do aplicativo McAfee Security trojanizado está o conta-gotas de malware ‘Brunhilda’.
Após a instalação, o aplicativo descriptografa e executa três cargas relacionadas ao Vultur (dois APKs e um arquivo DEX) que obtêm acesso aos Serviços de Acessibilidade, inicializam os sistemas de controle remoto e estabelecem uma conexão com o servidor de comando e controle (C2).
A versão mais recente do malware Vultur analisada pelos pesquisadores mantém vários recursos importantes de iterações mais antigas, como gravação de tela, keylogging e acesso remoto via AlphaVNC e ngrok, permitindo aos invasores monitoramento e controle em tempo real.
Comparado às variantes antigas, o novo Vultur introduziu uma série de novos recursos, incluindo:
Além desses recursos, a versão mais recente do Vultur também adicionou novos mecanismos de evasão, como criptografar suas comunicações C2 (AES + Base64), usar múltiplas cargas criptografadas que são descriptografadas instantaneamente quando necessário e mascarar suas atividades maliciosas sob o disfarce. de aplicativos legítimos.
Além disso, o malware usa código nativo para descriptografar a carga útil, o que torna o processo de engenharia reversa mais difícil e também ajuda a evitar a detecção.
Os pesquisadores observam que os desenvolvedores do Vultur parecem ter se concentrado em melhorar o recurso de controle remoto em dispositivos infectados com comandos para rolagem, gestos de deslizar, cliques, controle de volume e bloqueio de execução de aplicativos.
É claro que o autor do malware fez um esforço para melhorar a furtividade do malware e adicionar novas funções em um ritmo rápido, indicando que versões futuras provavelmente adicionarão mais recursos.
Para minimizar o risco de infecções por malware no Android, recomenda-se que os usuários baixem aplicativos apenas de repositórios confiáveis, como a loja oficial de aplicativos do Android, Google Play, e evitem clicar em URLs nas mensagens.
É sempre uma boa ideia verificar as permissões que um aplicativo solicita quando instalado e certificar-se de consentir apenas com aquelas necessárias para a funcionalidade principal do aplicativo. Por exemplo, um aplicativo de gerenciamento de senhas não deve exigir acesso à câmera ou ao microfone do telefone.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…