Gli esperti di Fox-IT (parte di NCC Group) hanno scoperto una nuova versione di Vultur, un trojan bancario per Android individuato inizialmente circa tre anni fa. Il malware offre ora un meccanismo di evasione migliorato e funzionalità avanzate di controllo remoto. Inoltre viene nascosto nell’app fasulla di McAfee Security.
Vultur sempre più pericoloso
Secondo Zimperium, Vultur è nella top 10 dei trojan bancari più diffusi del 2023 con almeno nove varianti che hanno colpito 122 app bancarie in 15 paesi. La catena di infezione inizia con l’invio di un SMS relativo ad una transazione inesistente (smishing). L’ignara vittima segue le istruzioni e telefona ad un presunto servizio di assistenza.
Il truffatore convince l’utente ad installare una versione modificata dell’app McAfee Security attraverso il link presente in un secondo SMS. Si tratta in realtà del dropper Brunhilda che, all’avvio dell’app, scarica ed esegue i tre payload di Vultur. Il primo è un file APK che ottiene privilegi elevati tramite i servizi di accessibilità di Android.
Anche il secondo file è un APK, ma permette la registrazione dello schermo e dei tasti premuti. Installa inoltre AlphaVNC e ngrok per l’accesso remoto. Il terzo è un file DEX che effettua la connessione al server C2 (command and control).
Rispetto alle versioni precedenti sono disponibili diverse funzionalità aggiuntive, tra cui download, upload, cancellazione, installazione e ricerca dei file, controllo del dispositivo tramite scrolling, gesture, tap e altri input, disattivazione di Keyguard per aggirare il lock screen.
La versione aggiornata di Vultur sfrutta inoltre nuove tecniche di evasione per evitare la rilevazione da parte dei tool di analisi, tra cui l’uso della crittografia AES e la codifica Base64 per le comunicazioni con il server C2.
Per limitare i rischi di infezione è meglio evitare il download di app da fonti sconosciute. Gli utenti non devono cliccare sui link contenuti negli SMS o consentire l’uso dei servizi di accessibilità.