Utenti Android afflitti dal Vultur Data Collecting RAT
I ricercatori di sicurezza hanno appena individuato un nuovo Trojan di accesso remoto (RAT) che ha raccolto dati da dispositivi basati su Android in tutto il mondo. Soprannominato Vultur, il RAT è in grado di raccogliere credenziali di accesso e dettagli bancari e di attivare l'esecuzione di codice remoto (RCE) su qualsiasi dispositivo infetto.
Sommario
Un diavolo travestito
A differenza di altre forme di malware che in genere si basano su spam e link sponsorizzati per propagarsi, i creatori di Vultur hanno deciso di dare al RAT un nome un po' fuorviante: "Protection Guard". Quest'ultimo è disponibile sul Google Play Store ufficiale ed è stato scaricato più di cinquemila volte dal suo inizio. Mentre un tale parassita potrebbe raggiungere milioni di dispositivi Android in un batter d'occhio, Vultur ha adottato un approccio personalizzato mirando solo agli utenti Android che hanno installato almeno una (o più) applicazione di conio di valuta digitale.
La prima minaccia Android a utilizzare VNC
Mai prima d'ora c'è stato un Trojan mirato per Android in grado di prendere una presa di ferro su un dispositivo mobile. La chiave del successo di Vultur come malware è l'uso di Virtual Network Computing, o VNC, che consente al RAT di eseguire registrazioni e keylogging automatizzate dello schermo remoto. Pertanto, Vultur sembra infliggere più danni rispetto alle sue controparti basate sugli attacchi sovrapposti, anche se quest'ultimo è molto più comune. In un attacco overlay, un trojan come Banker.BR, MysteryBot o Grandoreiro, creerà una pagina di accesso falsa e la caricherà ogni volta che apri la tua vera applicazione bancaria per raccogliere password, nomi utente, ecc. In un attacco VNC, un trojan come Vultur farà una registrazione video di tutto ciò che vede sullo schermo. Per fare ciò, il RAT deve ottenere l'autorizzazione del bersaglio per tenere un registro delle sequenze di tasti, della navigazione Web, dei contenuti multimediali, ecc. Cattura anche i contenuti privati dei server locali e imposta un bridge con un server C&C attivo.
Collegamenti con Brunilde
Il Vultur RAT è simile al famigerato malware Brunhilda poiché entrambi appaiono sul GooglePlay Store ufficiale mascherati come semplici strumenti di ottimizzazione del PC. Questi strumenti, tuttavia, tendono spesso a eseguire malware invece di correggere i bug sul sistema. Sia il Vultur RAT che Brunhilda si sono sviluppati da zero piuttosto che noleggiati o acquistati dal Dark Web.