Un exemplu îngrijorător este programul malware bancar Android cunoscut sub numele de Vultur, care și-a demonstrat recent capacitatea de a evolua, adăugând noi funcționalități ce îi permit să interacționeze și mai eficient de la distanță cu dispozitivele infectate. Descoperit inițial de ThreatFabric în martie 2021, Vultur a reprezentat o amenințare iminentă pentru utilizatorii de dispozitive Android, vizând în mod specific aplicațiile bancare prin înregistrarea tastelor și controlul de la distanță.
Vultur a devenit notabil pentru utilizarea sa inovatoare a capabilităților de înregistrare a ecranului, o premieră în rândul programelor malware bancare pe Android. În esență, Vultur (ab)utiliza software-ul legitim AlphaVNC și ngrok pentru a asigura acces de la distanță la serverul VNC al dispozitivului infectat, fiind distribuit printr-un cadru dropper numit Brunhilda, care a facilitat plasarea aplicațiilor maligne direct în Google Play Store.
Recent, Vultur a îmbunătățit modul în care își maschează activitățile rău intenționate. Prin criptarea comunicației C2 și utilizarea încărcăturilor utile criptate, care sunt decriptate din mers, malware-ul a devenit mai greu de detectat. Mai mult, s-a observat o tendință îngrijorătoare a acestuia de a se masca sub aparența aplicațiilor legitime, îmbunătățindu-și astfel capacitatea de a se sustrage detecției.
Android: Problema Extrem de PERICULOASA Care Afecteaza Milioane de Telefoane
În încercarea de a induce în eroare victimele, actorii din spatele Vultur utilizează un atac hibrid, combinând mesaje SMS și apeluri telefonice pentru a convinge victimele să instaleze versiuni troianizate ale aplicațiilor de securitate, cum ar fi McAfee Security. Această tactică ingenioasă îi păcălește pe utilizatori să descarce dropperul Brunhilda, care deghizează malware-ul ca o aplicație legitimă, oferindu-le astfel control total asupra dispozitivului infectat.
Ultimele actualizări aduc schimbări semnificative în arsenalul Vultur, inclusiv capacitatea malware-ului de a interacționa de la distanță cu dispozitivul infectat prin serviciile de accesibilitate Android. Această nouă funcționalitate permite operatorului malware să execute comenzi pentru a efectua acțiuni pe dispozitivul victimei, cum ar fi clicuri, defilări sau gesturi de glisare. De asemenea, se utilizează Firebase Cloud Messaging (FCM) pentru trimiterea de comenzi de la serverul C2 la dispozitivul infectat, mărind eficacitatea și discreția acțiunilor malware-ului.
O altă noutate este capacitatea Vultur de a împiedica victima să interacționeze cu aplicațiile instalate pe dispozitiv. Malware-ul poate specifica o listă de aplicații care vor fi automat închise la detectarea că rulează pe dispozitiv, afișând în loc un cod HTML personalizat ca „șablon” pentru aplicațiile blocate. Această metodă inovatoare de control și manipulare sporește capacitatea actorilor amenințării de a menține accesul și dominația asupra dispozitivelor compromise.
Aceste dezvoltări subliniază necesitatea unei vigilente constante și a unor practici de securitate riguroase din partea utilizatorilor de dispozitive Android. Este esențial ca utilizatorii să fie conștienți de potențialele amenințări și să adopte măsuri preventive, cum ar fi instalarea de aplicații exclusiv din surse de încredere și utilizarea soluțiilor de securitate mobile de înaltă calitate. Într-o lume digitală în continuă schimbare, protecția împotriva astfel de amenințări sofisticate devine o prioritate absolută pentru siguranța informațiilor personale și financiare.
