Vultur Android Malware

En ny Android -banktrojan har upptäckts av forskarna. De kallade det Vultur och avslöjade information om några av dess egenskaper, som verkar användas för första gången i ett hot mot denna typ av skadlig kod. Slutmålet för hotet är dock fortfarande att skaffa bankuppgifter och annan känslig användarinformation och exfiltrera data till cyberkriminella server. Hittills har Vultur riktat in sig på tillämpningar av bank- och kryptorelaterade enheter från flera länder, med huvudfokus på Italien, Australien och Spanien.

Initial Attack Vector och kapacitet

Vultur förklädde sig till en falsk säkerhetsapplikation med namnet 'Protection Guard', som var tillgänglig för nedladdning i Google Play -butiken. Innan den togs ner hade den hotfulla appen lyckats samla runt 5 000 nedladdningar. Vultur väl inne i användarens enhet avslöjar sin sanna skadliga potential.

I stället för den typiska överläggningsattackmetoden som observeras i de flesta andra banktrojaner använder Vultur en ny teknik. Den använder Virtual Network Computing (VNC): s fjärradelningsfunktioner för att olagligt börja spåra alla aktiviteter som utförs på den komprometterade enheten. För att underlätta fjärråtkomst till VNC-servern som körs lokalt på enheten använder hotet ett plattformsoberoende verktyg som kallas 'ngrok'. Slutligen, för att initiera sina keyloggingrutiner, utnyttjar Vultur tillgänglighetstjänsterna på enheten, ett vanligt beteende som är associerat med banktrojaner.

Förhållande till en annan skadlig kod

Forskare upptäckte också några kopplingar mellan Vultur och ett tidigare upptäckt dropphot som heter Brunhilda. Dropparen har varit en del av flera dokumenterade osäkra operationer och tros kunna erbjudas i ett MaaS-system (Malware-as-a-Service). Den kan leverera olika typer av skadlig kod till offrets enheter och distribueras vanligtvis via vapenstillämpade applikationer i Play Store. Överlappningarna mellan de två hoten hittades inuti källkoden och Command-and-Control (C2, C&C) infrastrukturen för attackerna.