El troyano bancario de Android conocido como Vultur ha resurgido con un conjunto de nuevas características y técnicas mejoradas de evasión de detección y antianálisis, lo que permite a sus operadores interactuar de forma remota con un dispositivo móvil y recopilar datos confidenciales. «Vultur también ha comenzado a enmascarar más actividad maliciosa cifrando su comunicación C2, utilizando múltiples cargas útiles cifradas que se descifran sobre la marcha y utilizando la apariencia de aplicaciones legítimas para llevar a cabo sus acciones maliciosas», dijo el investigador del Grupo NCC, Joshua Kamp, en un informe publicado la semana pasada. Vultur se reveló por primera vez a principios de 2021 y el malware era capaz de aprovechar las API de servicios de accesibilidad de Android para ejecutar sus acciones maliciosas. Se ha observado que el malware se distribuye a través de aplicaciones de cuentagotas troyanizadas en Google Play Store, haciéndose pasar por aplicaciones de autenticación y productividad para engañar a los usuarios involuntarios para que las instalen. Estas aplicaciones de cuentagotas se ofrecen como parte de una operación de cuentagotas como servicio (DaaS) llamada Brunhilda. Otras cadenas de ataques, como observó NCC Group, implican que los droppers se propaguen mediante una combinación de mensajes SMS y llamadas telefónicas (una técnica llamada entrega de ataques orientados por teléfono (TOAD)) para, en última instancia, ofrecer una versión actualizada del malware. «El primer mensaje SMS guía a la víctima hacia una llamada telefónica», dijo Kamp. Cuando la víctima llama al número, el estafador le proporciona un segundo SMS que incluye el enlace al cuentagotas: una versión modificada del [legitimate] Aplicación McAfee Security». El mensaje SMS inicial tiene como objetivo inducir una falsa sensación de urgencia al indicar a los destinatarios que llamen a un número para autorizar una transacción inexistente que involucra una gran suma de dinero. Tras la instalación, el dropper malicioso ejecuta tres cargas útiles relacionadas (dos APK y un archivo DEX) que registran el bot con el servidor C2, obtienen permisos de servicios de accesibilidad para acceso remoto a través de AlphaVNC y ngrok, y ejecutan comandos obtenidos del servidor C2. Una de las adiciones destacadas a Vultur es la capacidad de acceder de forma remota interactuar con el dispositivo infectado, lo que incluye hacer clic, desplazarse y deslizarse, a través de los servicios de accesibilidad de Android, así como descargar, cargar, eliminar, instalar y buscar archivos. Además, el malware está equipado para evitar que las víctimas interactúen con una lista predefinida de aplicaciones, mostrar notificaciones personalizadas en la barra de estado e incluso desactivar Keyguard para evitar las medidas de seguridad de la pantalla de bloqueo. «Los desarrollos recientes de Vultur han mostrado un cambio en el enfoque hacia maximizar el control remoto sobre los dispositivos infectados», dijo Kamp. «Con la capacidad de emitir comandos para desplazarse, gestos de deslizamiento, clics, control de volumen, bloquear la ejecución de aplicaciones e incluso incorporar funcionalidad de administrador de archivos, está claro que el objetivo principal es obtener un control total sobre los dispositivos comprometidos». El desarrollo se produce cuando Team Cymru reveló la transición del troyano bancario Octo (también conocido como Coper) para Android a una operación de malware como servicio, ofreciendo sus servicios a otros actores de amenazas para realizar robo de información. «El malware ofrece una variedad de características avanzadas, incluyendo registro de teclas, interceptación de mensajes SMS y notificaciones automáticas, y control sobre la pantalla del dispositivo», dijo la compañía. «Emplea varias inyecciones para robar información confidencial, como contraseñas y credenciales de inicio de sesión, mostrando pantallas o superposiciones falsas. Además, utiliza VNC (Virtual Network Computing) para acceso remoto a dispositivos, mejorando sus capacidades de vigilancia». Se estima que las campañas de Octo han comprometido 45.000 dispositivos, principalmente en Portugal, España, Turquía y Estados Unidos. Algunas de las otras víctimas se encuentran en Francia, Países Bajos, Canadá, India y Japón. Los hallazgos también surgen tras la aparición de una nueva campaña dirigida a usuarios de Android en India que distribuye paquetes APK maliciosos que se hacen pasar por servicios de reserva, facturación y mensajería en línea a través de una oferta de malware como servicio (MaaS). El malware «tiene como objetivo el robo de información bancaria, mensajes SMS y otra información confidencial de los dispositivos de las víctimas», dijo Symantec, propiedad de Broadcom, en un boletín. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Deja una respuesta