Vultur Android Malware

Vultur Android Malware Descrizione

I ricercatori hanno scoperto un nuovo trojan bancario Android. Lo hanno chiamato Vultur e hanno divulgato informazioni su alcune delle sue caratteristiche, che sembrano essere utilizzate per la prima volta in una minaccia malware di questo tipo. Tuttavia, l'obiettivo finale della minaccia è ancora ottenere le credenziali bancarie e altre informazioni sensibili dell'utente ed esfiltrare i dati nel server dei criminali informatici. Finora, Vultur si sta rivolgendo alle applicazioni di entità bancarie e legate alle criptovalute di diversi paesi, con un focus primario su Italia, Australia e Spagna.

Vettore di attacco iniziale e capacità

Vultur si è travestito da una falsa applicazione di sicurezza denominata "Protection Guard", disponibile per il download su Google Play Store. Prima di essere rimossa, l'app minacciosa era riuscita ad accumulare circa 5.000 download. Una volta all'interno del dispositivo dell'utente, Vultur svela il suo vero potenziale dannoso.

Invece del tipico metodo di attacco overlay osservato nella maggior parte degli altri trojan bancari, Vultur utilizza una nuova tecnica. Utilizza le capacità di condivisione dello schermo in remoto di Virtual Network Computing (VNC) per avviare illecitamente il monitoraggio di tutte le attività condotte sul dispositivo compromesso. Per facilitare l'accesso remoto al server VNC in esecuzione localmente sul dispositivo, la minaccia implementa un'utilità multipiattaforma nota come "ngrok". Infine, per avviare le sue routine di keylogging, Vultur sfrutta i servizi di accessibilità sul dispositivo, un comportamento comune associato ai trojan bancari.

Relazione con un altro malware

I ricercatori hanno anche scoperto alcuni collegamenti tra Vultur e una minaccia contagocce precedentemente rilevata chiamata Brunhilda. Il contagocce ha fatto parte di diverse operazioni non sicure documentate e si ritiene che sia offerto in uno schema MaaS (Malware-as-a-Service). Può fornire diversi tipi di malware ai dispositivi della vittima e di solito è distribuito tramite applicazioni armate sul Play Store. Le sovrapposizioni tra le due minacce sono state trovate all'interno del codice sorgente e dell'infrastruttura Command-and-Control (C2, C&C) degli attacchi.