Vi ricordate di Vultur? Speriamo di no, perché un virus del genere è meglio dimenticarlo, e sperare sempre che non ritorni. E invece, ecco il trojan bancario Android riemerso dalle nebbie internautiche, con tanto di suite di nuove funzionalità e tecniche migliorate di anti-analisi e di evasione del rilevamento.
In pratica si è armato, al punto da consentire agli hacker di interagire in remoto con un dispositivo mobile e raccogliere dati sensibili.
Vultur torna all’attacco più potente che mai
Rivelato per la prima volta nel 2021, già anni fa questo malware era in grado di sfruttare le API dei servizi di accessibilità di Android per eseguire le sue azioni dannose. Ora è peggio. Secondo il gruppo di cybersecurity NCC, riportato da The Hacker News, Vultur ha iniziato a mascherare una parte sempre più maggiore della sua attività criminosa.
Come? Con una serie di tecniche all’avanguardia, quali:
- crittografia delle comunicazioni C2,
- payload crittografati che vengono decriptati al volo.
Per capire la gravità di questo trojan bancario, si contino solo i risultati di una campagna malware analoga, Octo: ben 45.000 dispositivi coinvolti, principalmente in Portogallo, Spagna, Turchia e Stati Uniti. Addirittura, secondo McAfee Labs, il malware è stato incorporato in oltre 800 app, e sono stati compromessi più di 3.700 dispositivi Android.
Come funziona il trojan bancario
Riporta il sito, sembra che il malware venga distribuito tramite app dropper con trojan sul Google Play Store, mascherandosi da app di autenticazione, così da indurre gli utenti più ingenui a installarla. Oppure tramite una combinazione di messaggi SMS e telefonate, come ha osservato NCC Group.
Ma vediamo meglio come agisce. Il messaggio SMS iniziale mira a indurre sull’utente un falso senso di urgenza, ordinandogli di chiamare un numero per autorizzare una transazione inesistente, che guarda caso coinvolge una grossa somma di denaro.
Al momento dell’installazione, il dropper dannoso esegue tre payload correlati (due APK e un file DEX) che registrano il bot con il server C2. Già con questa sua nuova implementazione, il trojan ottiene una serie di autorizzazioni per i servizi di accessibilità, con tanto di esecuzione di comandi recuperati dal server C2.
E non solo. Ora Vultur è capace di interagire in remoto con il dispositivo infetto, eseguendo anche comandi semplici come clic, scorrimenti e passaggi, nonché attività come scaricare, caricare, eliminare, installare e trovare file.
Inoltre, il malware è progettato per impedire alle vittime di:
- interagire con un elenco predefinito di app,
- visualizzare notifiche personalizzate nella barra di stato,
- disattivare Keyguard per aggirare le misure di sicurezza della schermata di blocco.
Pertanto, occhi aperti da questo tipo di attacco fraudolento! Anche perché, una volta che queste informazioni cadono nelle mani dei truffatori, questi possono facilmente rubare fondi dal conto corrente della vittima.
