Vultur Android-malware
De onderzoekers hebben een nieuwe Android banking Trojan ontdekt. Ze noemden het Vultur en onthulden informatie over enkele van zijn kenmerken, die voor het eerst lijken te worden gebruikt in een malware-dreiging van dit type. Het einddoel van de dreiging is echter nog steeds het verkrijgen van de bankgegevens en andere gevoelige gebruikersinformatie en het exfiltreren van de gegevens naar de server van de cybercriminelen. Tot nu toe richt Vultur zich op de toepassingen van bank- en crypto-gerelateerde entiteiten uit verschillende landen, met de primaire focus op Italië, Australië en Spanje.
Initiële aanvalsvector en mogelijkheden
Vultur vermomde zichzelf als een nep-beveiligingstoepassing genaamd 'Protection Guard', die beschikbaar was om te downloaden in de Google Play Store. Voordat het werd verwijderd, had de bedreigende app ongeveer 5.000 downloads verzameld. Eenmaal in het apparaat van de gebruiker onthult Vultur zijn ware schadelijke potentieel.
In plaats van de typische overlay-aanvalsmethode die wordt waargenomen bij de meeste andere banktrojans, gebruikt Vultur een nieuwe techniek. Het maakt gebruik van de mogelijkheden voor schermdeling op afstand van Virtual Network Computing (VNC) om op illegale wijze alle activiteiten op het besmette apparaat te volgen. Om externe toegang tot de VNC-server die lokaal op het apparaat draait mogelijk te maken, gebruikt de dreiging een platformonafhankelijk hulpprogramma dat bekend staat als 'ngrok'. Ten slotte maakt Vultur, om zijn keylogging-routines te starten, gebruik van de toegankelijkheidsservices op het apparaat, een veelvoorkomend gedrag dat wordt geassocieerd met banktrojans.
Relatie met een andere malware
Onderzoekers ontdekten ook enkele verbanden tussen Vultur en een eerder gedetecteerde dropper-dreiging genaamd Brunhilda. De druppelaar is onderdeel geweest van verschillende gedocumenteerde onveilige operaties en wordt verondersteld te worden aangeboden in een MaaS-schema (Malware-as-a-Service). Het kan verschillende soorten malware afleveren op de apparaten van het slachtoffer en wordt meestal gedistribueerd via bewapende applicaties in de Play Store. De overlappingen tussen de twee bedreigingen werden gevonden in de broncode en de Command-and-Control (C2, C&C) infrastructuur van de aanvallen.
