Os pesquisadores de segurança acabam de detectar um novo Trojan de Acesso Remoto (RAT), que coleta dados nos dispositivos baseados no Android em todo o mundo. Chamado de Vultur, o RAT é capaz de coletar credenciais de login e dados bancários e acionar a execução remota de código (RCE) em qualquer dispositivo infectado.
Um Demônio Disfarçado
Ao contrário de outras formas de malware que normalmente dependem de spam e links patrocinados para se propagar, os criadores do Vultur decidiram dar ao RAT um nome um tanto enganador - "Guarda de Proteção". Este último está disponível na loja oficial do Google Play e foi baixado mais de cinco mil vezes desde o seu início. Embora tal parasita possa atingir milhões de dispositivos Android em um piscar de olhos, o Vultur adotou uma abordagem personalizada de apenas direcionar os usuários do Android que instalaram pelo menos um (ou mais) aplicativo de cunhagem de moeda digital.
A Primeira Ameaça do Android a Utilizar VNC
Nunca antes existiu um Trojan direcionado ao Android, capaz de controlar um dispositivo móvel. A chave para o sucesso do Vultur como uma peça de malware é o uso do Virtual Network Computing, ou VNC, que permite ao RAT realizar gravação de tela remota automatizada e keylogging. Assim, o Vultur parece causar mais dano do que suas contrapartes baseadas em ataque de sobreposição, embora o último seja muito mais comum. Em um ataque de sobreposição, um Trojan como o Banker.BR, o MysteryBot ou o Grandoreiro, criará uma página de login falsa e a carregará toda vez que você abrir o seu aplicativo bancário genuíno para coletar senhas, nomes de usuário, etc. Em um ataque VNC, um Trojan como o Vultur fará uma gravação em vídeo de tudo o que aparecer na tela. Para fazer isso, o RAT precisa obter a permissão do alvo para manter um registro de teclas digitadas, navegação na Web, multimídia, etc. Ele também captura o conteúdo privado dos servidores locais e estabelece uma ponte com um servidor C&C ativo.
Conexões com o Brunhilda
O Vultur RAT é semelhante ao infame malware Brunhilda, já que ambos aparecem na GooglePlay Store oficial mascarados como simples ferramentas de otimização do PC. Essas ferramentas, no entanto, geralmente tendem a executar malware em vez de corrigir os bugs no seu sistema. Tanto o Vultur RAT quanto a Brunhilda foram desenvolvidos do zero, em vez de alugados ou comprados na Dark Web.