Usuarios de Android afectados por la RAT de recopilación de datos de Vultur

malware android rata buitre Los investigadores de seguridad acaban de detectar un nuevo troyano de acceso remoto (RAT) que ha estado recolectando datos de dispositivos basados en Android en todo el mundo. Apodado Vultur, el RAT es capaz de recopilar credenciales de inicio de sesión y detalles bancarios y activar la ejecución remota de código (RCE) en cualquier dispositivo infectado.

Un diablo disfrazado

A diferencia de otras formas de malware que suelen depender del spam y los enlaces patrocinados para su propagación, los creadores de Vultur han decidido darle al RAT un nombre algo engañoso: "Protection Guard". Este último está en la tienda oficial de Google Play y se ha descargado más de cinco mil veces desde su inicio. Si bien un parásito de este tipo podría llegar a millones de dispositivos Android en un abrir y cerrar de ojos, Vultur ha adoptado un enfoque personalizado de apuntar solo a los usuarios de Android que han instalado al menos una (o más) aplicaciones de acuñación de moneda digital.

La primera amenaza de Android en utilizar VNC

Nunca antes ha existido un troyano dirigido a Android capaz de tomar un control de hierro en un dispositivo móvil. La clave del éxito de Vultur como pieza de malware es el uso de Virtual Network Computing, o VNC, que permite a la RAT realizar grabaciones de pantalla y keylogging automatizadas de forma remota. Por lo tanto, Vultur parece hacer más daño que sus contrapartes basadas en ataques superpuestos, aunque este último es mucho más común. En un ataque de superposición, un troyano como Banker.BR, MysteryBot o Grandoreiro, creará una página de inicio de sesión falsa y la cargará cada vez que abra su aplicación bancaria genuina para recopilar contraseñas, nombres de usuario, etc. En un ataque VNC, un troyano como Vultur hará una grabación de video de lo que vea en la pantalla. Para hacer eso, la RAT necesita obtener el permiso del objetivo para mantener un registro de pulsaciones de teclas, navegación web, multimedia, etc. También captura el contenido privado de los servidores locales y establece un puente con un servidor C&C activo.

Conexiones con Brunilda

El Vultur RAT es similar al infame malware Brunhilda, ya que ambos aparecen en la tienda oficial de GooglePlay enmascarados como simples herramientas de optimización de PC. Sin embargo, esas herramientas tienden a ejecutar malware en lugar de corregir los errores en su sistema. Tanto Vultur RAT como Brunhilda se desarrollaron desde cero en lugar de alquilarse o comprarse en la Dark Web.