Et bekymrende eksempel er Android bank malware kendt som Vultur, som for nylig har demonstreret sin evne til at udvikle sig og tilføjer ny funktionalitet, der gør det muligt at interagere endnu mere effektivt eksternt med inficerede enheder. Oprindeligt opdaget af ThreatFabric i marts 2021, udgjorde Vultur en overhængende trussel mod Android-enhedsbrugere, og målrettede specifikt mod bankapps gennem keylogging og fjernbetjening.
Vultur blev bemærkelsesværdig for sin innovative brug af skærmoptagelsesfunktioner, en første blandt Android-bankmalware. I det væsentlige brugte Vultur (misbrugt) legitim software AlphaVNC og ngrok til at give fjernadgang til den inficerede enheds VNC-server, distribueret via en dropper-ramme kaldet Brunhilda, som lettede placeringen af ondsindede apps direkte i Google Play Butik.
Vultur har for nylig forbedret den måde, den maskerer sine ondsindede aktiviteter på. Ved at kryptere C2-kommunikation og bruge krypterede nyttelaster, der dekrypteres i farten, er malware blevet sværere at opdage. Desuden er det blevet observeret, at det har en bekymrende tendens til at forklæde sig som legitime applikationer og derved forbedre dets evne til at undgå opdagelse.
Android: Det ekstremt FARLIGE problem, der påvirker millioner af telefoner
I et forsøg på at vildlede ofre bruger aktørerne bag Vultur et hybridangreb, der kombinerer SMS-beskeder og telefonopkald for at overbevise ofrene om at installere trojanske versioner af sikkerhedsapplikationer såsom McAfee Security. Denne geniale taktik narrer brugerne til at downloade Brunhilda-dropperen, som forklæder malwaren som en legitim applikation og dermed giver dem fuld kontrol over den inficerede enhed.
De seneste opdateringer bringer betydelige ændringer til Vulturs arsenal, herunder malwarens evne til at fjerninteragere med den inficerede enhed via Android-tilgængelighedstjenester. Denne nye funktionalitet giver malware-operatøren mulighed for at udføre kommandoer for at udføre handlinger på ofrets enhed, såsom klik, rulninger eller strygebevægelser. Den bruger også Firebase Cloud Messaging (FCM) til at sende kommandoer fra C2-serveren til den inficerede enhed, hvilket øger effektiviteten og diskretionen af malwarens handlinger.
En anden nyhed er Vulturs evne til at forhindre offeret i at interagere med de programmer, der er installeret på enheden. Malwaren kan angive en liste over apps, der automatisk lukkes, når de opdages, at de kører på enheden, i stedet for at vise en tilpasset HTML-kode som en "skabelon" for de blokerede apps. Denne innovative metode til kontrol og manipulation øger trusselsaktørers evne til at opretholde adgang og dominans over kompromitterede enheder.
Disse udviklinger understreger behovet for konstant årvågenhed og streng sikkerhedspraksis fra Android-enhedsbrugere. Det er vigtigt, at brugerne er opmærksomme på potentielle trusler og træffer forebyggende foranstaltninger, såsom kun at installere apps fra pålidelige kilder og bruge mobile sikkerhedsløsninger af høj kvalitet. I en digital verden i konstant forandring bliver beskyttelse mod sådanne sofistikerede trusler en absolut prioritet for sikkerheden af personlige og finansielle oplysninger.
