Vultur Android Malware

Vultur Android Malware Descripción

Los investigadores han descubierto un nuevo troyano bancario Android. Lo llamaron Vultur y revelaron información sobre algunas de sus características, que parecen ser utilizadas por primera vez en una amenaza de malware de este tipo. Sin embargo, el objetivo final de la amenaza sigue siendo obtener las credenciales bancarias y otra información confidencial del usuario y exfiltrar los datos al servidor de los ciberdelincuentes. Hasta ahora, Vultur está apuntando a las aplicaciones de entidades bancarias y relacionadas con las criptomonedas de varios países, con el enfoque principal en Italia, Australia y España.

Vector de ataque inicial y capacidades

Vultur se disfrazó de una aplicación de seguridad falsa llamada 'Protection Guard', que estaba disponible para descargar en la tienda Google Play. Antes de que fuera eliminada, la aplicación amenazante había logrado acumular alrededor de 5,000 descargas. Una vez dentro del dispositivo del usuario, Vultur revela su verdadero potencial dañino.

En lugar del método típico de ataque de superposición que se observa en la mayoría de los demás troyanos bancarios, Vultur emplea una nueva técnica. Utiliza las capacidades de uso compartido de pantalla remota de Virtual Network Computing (VNC) para comenzar a rastrear ilícitamente todas las actividades realizadas en el dispositivo comprometido. Para facilitar el acceso remoto al servidor VNC que se ejecuta localmente en el dispositivo, la amenaza implementa una utilidad multiplataforma conocida como 'ngrok'. Finalmente, para iniciar sus rutinas de keylogging, Vultur explota los Servicios de Accesibilidad en el dispositivo, un comportamiento común asociado con los troyanos bancarios.

Relación con otro malware

Los investigadores también descubrieron algunos vínculos entre Vultur y una amenaza de cuentagotas previamente detectada llamada Brunhilda. El cuentagotas ha sido parte de varias operaciones inseguras documentadas y se cree que se ofrece en un esquema MaaS (Malware-as-a-Service). Puede entregar diferentes tipos de malware a los dispositivos de la víctima y generalmente se distribuye a través de aplicaciones armadas en Play Store. Las superposiciones entre las dos amenazas se encontraron dentro del código fuente y la infraestructura de Comando y Control (C2, C&C) de los ataques.