Malware Vultur Android

Um novo banking Trojan para o Android foi descoberto pelos pesquisadores. Eles o chamaram de Vultur e divulgaram informações sobre algumas de suas características, que parecem ser usadas pela primeira vez em uma ameaça de malware desse tipo. No entanto, o objetivo final da ameaça ainda é obter as credenciais bancárias e outras informações confidenciais do usuário e exfiltrar os dados para o servidor dos cibercriminosos. Até agora, o Vultur tem como alvo as aplicações de entidades bancárias e cripto-relacionadas de vários países, com foco principal na Itália, Austrália e Espanha.

O Vetor de Ataque Inicial e as Capacidades

O Vultur se disfarçou como um falso aplicativo de segurança chamado 'Protection Guard', que estava disponível para download na Google Play Store. Antes de ser retirado do ar, o aplicativo ameaçador conseguiu acumular cerca de 5.000 downloads. Uma vez dentro do dispositivo do usuário, o Vultur revela seu verdadeiro potencial prejudicial.

Em vez do método de ataque de sobreposição típico observado na maioria dos outros Trojans bancários, o Vultur emprega uma nova técnica. Ele usa os recursos de compartilhamento de tela remota do Virtual Network Computing (VNC) para iniciar ilicitamente o rastreamento de todas as atividades conduzidas no dispositivo comprometido. Para facilitar o acesso remoto ao servidor VNC que está sendo executado localmente no dispositivo, a ameaça implanta um utilitário de plataforma cruzada, conhecido como 'ngrok'. Finalmente, para iniciar suas rotinas de keylogging, o Vultur explora os Serviços de Acessibilidade no dispositivo, um comportamento comum associado a Trojans bancários.

Relação com Outro Malware

Os pesquisadores também descobriram algumas ligações entre o Vultur e uma ameaça dropper, detectada anteriormente, chamada Brunhilda. O conta-gotas fez parte de várias operações inseguras documentadas e acredita-se que seja oferecido em um esquema MaaS (Malware-as-a-Service). Ele pode entregar diferentes tipos de malware aos dispositivos da vítima e geralmente é distribuído por meio de aplicativos armados na Play Store. As sobreposições entre as duas ameaças foram encontradas dentro do código-fonte e da infraestrutura de Comando e Controle (C2, C&C) dos ataques.