Occhio a Vultur, il banking trojan per Android che prende il controllo dei dispositivi
Attraverso le API elude l’analisi e il rilevamento: consente di prendere il controllo da remoto dei dispositivi infetti e scaricare, caricare, eliminare, installare e trovare file
Il panorama delle minacce informatiche vede una rinascita del trojan bancario per Android noto come Vultur, che emerge con nuove capacità e tecniche avanzate per sfuggire all’identificazione e all’analisi. Gli attori dietro Vultur possono ora manipolare i dispositivi mobili da remoto e acquisire informazioni sensibili in modo più efficiente. Introdotto per la prima volta nel 2021, Vultur utilizza le API di accessibilità di Android per le sue attività dannose. Il malware si diffonde attraverso app dropper infette presenti sul Google Play Store, mascherate da software di autenticazione e produttività per sedurre gli utenti e indurli a installarle, distribuite come parte di un servizio chiamato Dropper as a Service (DaaS), conosciuto anche come Brunhilda.
Come ottenere un attimo smartphone HONOR
I metodi d’attacco del trojan Vultur
Gli attacchi di Vultur si sono sviluppati in una nuova forma, come evidenziato da NCC Group, utilizzando una combinazione di messaggi SMS e chiamate telefoniche in una strategia nota come Telephone-Oriented Attack Delivery (TOAD) per distribuire una variante aggiornata del malware. Il primo SMS guida il destinatario verso una telefonata; una volta chiamato il numero fornito, il truffatore invia un secondo SMS contenente un link al dropper. Questo link conduce a una versione alterata dell’app McAfee Security, che appare come legittima. Il primo SMS cerca di creare un falso senso di urgenza, un tratto comune nelle tattiche di ingegneria sociale, spingendo i destinatari a chiamare per “autorizzare” una transazione fittizia che coinvolge una grande somma di denaro.
Una volta installato, il dropper malevolo attiva tre componenti (due file APK e un file DEX). Questi si connettono al server C2, acquisiscono permessi per i servizi di accessibilità per consentire l’accesso remoto tramite AlphaVNC e ngrok, e eseguono comandi inviati dal server C2. Una delle caratteristiche più notevoli di Vultur è la sua abilità di interagire in remoto con il dispositivo compromesso, eseguendo clic, scorrendo e effettuando swipe tramite i servizi di accessibilità di Android. Oltre a ciò, è in grado di scaricare, caricare, eliminare, installare e individuare file sul dispositivo.
Quali misure preventive adottare?
Questa evoluzione evidenzia un cambiamento di strategia mirato a ottenere il massimo controllo remoto sui dispositivi compromessi, con l’obiettivo primario di acquisire un controllo totale sui dispositivi infetti. Di fronte a questa minaccia in continua crescita, è essenziale che gli utenti adottino misure preventive adeguate. Queste includono l’installazione di software antivirus affidabile, l’attenzione nel scaricare applicazioni solo da fonti attendibili e la verifica dell’autenticità delle richieste di informazioni personali. In particolare, è consigliabile controllare i permessi richiesti da un’applicazione al momento dell’installazione e concedere solo quelli necessari per le sue funzionalità principali. Ad esempio, un’app di gestione delle password non dovrebbe richiedere l’accesso alla fotocamera o al microfono del dispositivo.
I drive USB possono diventare veicoli di virus per le aziende: ecco come prevenire il rischio