Ett oroande exempel är Android-bankskadlig programvara känd som Vultur, som nyligen har visat sin förmåga att utvecklas och har lagt till ny funktionalitet som gör att den kan interagera ännu mer effektivt på distans med infekterade enheter. Ursprungligen upptäcktes av ThreatFabric i mars 2021, Vultur utgjorde ett överhängande hot mot Android-enhetsanvändare, speciellt inriktat på bankappar genom tangentloggning och fjärrkontroll.
Vultur blev känd för sin innovativa användning av skärminspelningsfunktioner, en första bland skadlig programvara för Android-banker. I huvudsak använde Vultur legitim mjukvara AlphaVNC och ngrok för att ge fjärråtkomst till den infekterade enhetens VNC-server, distribuerad via ett droppramverk kallat Brunhilda, vilket underlättade placeringen av skadliga appar direkt i Google Play Butik.
Vultur har nyligen förbättrat sättet att maskera sina skadliga aktiviteter. Genom att kryptera C2-kommunikation och använda krypterade nyttolaster som dekrypteras i farten har skadlig programvara blivit svårare att upptäcka. Dessutom har det observerats att det har en oroande tendens att maskera sig som legitima applikationer, vilket förbättrar dess förmåga att undvika upptäckt.
Android: Det extremt FARLIGA problemet som påverkar miljontals telefoner
I ett försök att vilseleda offer använder skådespelarna bakom Vultur en hybridattack, som kombinerar SMS-meddelanden och telefonsamtal för att övertyga offren att installera trojaniserade versioner av säkerhetsapplikationer som McAfee Security. Denna geniala taktik lurar användare att ladda ner Brunhilda dropper, som döljer skadlig programvara som en legitim applikation, vilket ger dem full kontroll över den infekterade enheten.
De senaste uppdateringarna medför betydande förändringar i Vulturs arsenal, inklusive skadlig programvaras förmåga att fjärrinteragera med den infekterade enheten via Androids tillgänglighetstjänster. Denna nya funktion gör det möjligt för operatören av skadlig programvara att utföra kommandon för att utföra åtgärder på offrets enhet, såsom klick, rullningar eller svepgester. Den använder också Firebase Cloud Messaging (FCM) för att skicka kommandon från C2-servern till den infekterade enheten, vilket ökar effektiviteten och diskretionen för skadlig programvaras åtgärder.
En annan nyhet är Vulturs förmåga att hindra offret från att interagera med applikationerna som är installerade på enheten. Skadlig programvara kan ange en lista över appar som stängs automatiskt när de upptäcks att de körs på enheten, istället för att visa en anpassad HTML-kod som en "mall" för de blockerade apparna. Denna innovativa metod för kontroll och manipulation ökar möjligheten för hotaktörer att behålla åtkomst och dominans över komprometterade enheter.
Denna utveckling understryker behovet av konstant vaksamhet och rigorösa säkerhetsrutiner från Android-enhetsanvändares sida. Det är viktigt att användare är medvetna om potentiella hot och vidtar förebyggande åtgärder, som att installera appar endast från pålitliga källor och använda högkvalitativa mobila säkerhetslösningar. I en ständigt föränderlig digital värld blir skydd mot sådana sofistikerade hot en absolut prioritet för säkerheten för personlig och finansiell information.
