Pesquisadores de segurança encontraram uma nova versão do trojan bancário Vultur para Android. Essa nova versão do malware inclui recursos de controle remoto mais avançados e um mecanismo de evasão aprimorado. O malware se apresenta como aplicativo McAfee Security.
Malware bancário Vultur para Android
Pesquisadores da empresa de detecção de fraudes ThreatFabric documentaram o malware pela primeira vez em março de 2021 e, no final de 2022, observaram que ele era distribuído no Google Play por meio de aplicativos conta-gotas. No final de 2023, a plataforma de segurança móvel Zimperium incluiu o Vultur entre os 10 trojans bancários mais ativos do ano, observando que nove de suas variantes tinham como alvo 122 aplicativos bancários em 15 países.
Um relatório da Fox-IT, parte do Grupo NCC, alerta que uma nova versão mais evasiva do Vultur se espalha para as vítimas por meio de um ataque híbrido que depende de smishing (phishing por SMS) e chamadas telefônicas que enganam os alvos para que instalem uma versão do malware que se disfarça como o aplicativo McAfee Security.
A nova cadeia de infecção do Vultur
A mais recente cadeia de infecção do Vultur começa com a vítima recebendo uma mensagem SMS alertando sobre uma transação não autorizada e instruindo-a a ligar para um número fornecido para obter orientação. A ligação é atendida por um fraudador que convence a vítima a abrir o link chegando com um segundo SMS, que direciona para um site que oferece uma versão modificada do aplicativo McAfee Security
Dentro do aplicativo McAfee Security trojanizado está o conta-gotas de malware “Brunhilda”. Após a instalação, o aplicativo descriptografa e executa três cargas relacionadas ao Vultur (dois APKs e um arquivo DEX) que obtêm acesso aos Serviços de Acessibilidade, inicializam os sistemas de controle remoto e estabelecem uma conexão com o servidor de comando e controle (C2).
Novos recursos
A versão mais recente do malware Vultur analisada pelos pesquisadores mantém vários recursos importantes de iterações mais antigas, como gravação de tela, keylogging e acesso remoto via AlphaVNC e ngrok, permitindo aos invasores monitoramento e controle em tempo real.
Imagem: Reprodução | Bleeping Computer
Comparado às variantes antigas, o novo Vultur introduziu uma série de novos recursos, incluindo:
- Ações de gerenciamento de arquivos, incluindo download, upload, exclusão, instalação e localização de arquivos no dispositivo.
- Uso de Serviços de Acessibilidade para realizar gestos de cliques, rolagem e deslizamento.
- Bloqueio da execução de aplicativos específicos no dispositivo, exibindo HTML personalizado ou uma mensagem “Temporariamente indisponível” ao usuário.
- Exibindo notificações personalizadas na barra de status para enganar a vítima.
- Desative o Keyguard para ignorar a segurança da tela de bloqueio e obter acesso irrestrito ao dispositivo.
Além desses recursos, a versão mais recente do Vultur também adicionou novos mecanismos de evasão, como criptografar suas comunicações C2 (AES + Base64), usar múltiplas cargas criptografadas que são descriptografadas instantaneamente quando necessário e mascarar suas atividades maliciosas sob o disfarce de aplicativos legítimos. Além disso, o malware usa código nativo para descriptografar a carga útil, o que torna o processo de engenharia reversa mais difícil e também ajuda a evitar a detecção.
Para minimizar o risco de infecções por malware no Android, recomenda-se que os usuários baixem aplicativos apenas de repositórios confiáveis, como a loja de aplicativos oficial do Android, Google Play, e evitem clicar em URLs nas mensagens.