Trojan bancário Vultur retorna com controle remoto aprimorado em dispositivos Android
O trojan bancário Vultur, uma ameaça direcionada a dispositivos Android, ressurgiu recentemente com aprimoramentos significativos em suas técnicas e recursos. Essa ressurreição foi identificada pelo pesquisador Joshua Kamp, que detectou uma série de mudanças no comportamento e na estratégia do malware.
Evolução do Vultur
Inicialmente divulgado no início de 2021, o Vultur chamou a atenção pela sua capacidade de explorar APIs de serviços de acessibilidade no Android para realizar suas atividades maliciosas. No entanto, sua versão mais recente revela uma sofisticação ainda maior em termos de evasão de detecção e análise.
Técnicas Aprimoradas de Evasão
Uma das principais atualizações observadas no Vultur é o uso de comunicação C2 (comando e controle) criptografada. Essa abordagem dificulta a detecção do malware, tornando suas atividades maliciosas mais difíceis de serem identificadas por soluções de segurança tradicionais.
Disfarce e Engano
Além da comunicação criptografada, o Vultur agora se disfarça usando múltiplos payloads criptografados. Esses payloads são decifrados em tempo real, permitindo que o malware se passe por aplicativos legítimos durante suas operações maliciosas. Essa tática visa enganar tanto os usuários quanto as soluções de segurança.
Métodos de Distribuição
O Vultur continua sendo distribuído por meio de aplicativos dropper trojanizados, os quais são inseridos na Google Play Store. Esses aplicativos, muitas vezes disfarçados como ferramentas de autenticação ou produtividade, enganam os usuários para que instalem o malware em seus dispositivos.
Cadeias de Ataque Complexas
Além da distribuição pela loja oficial de aplicativos do Android, o Vultur também é disseminado por meio de outras técnicas, como mensagens SMS e chamadas telefônicas. Essa abordagem, conhecida como entrega de ataque orientada por telefone (TOAD), adiciona complexidade às cadeias de ataque, tornando o malware ainda mais perigoso.
Funcionalidades do Malware
Após a instalação bem-sucedida, o dropper malicioso executa uma série de payloads, cada um com uma função específica. Isso inclui o registro do bot no servidor C2, obtenção de permissões de serviços de acessibilidade e execução de comandos remotos.
Conclusão
O ressurgimento do trojan bancário Vultur com suas técnicas aprimoradas representa uma ameaça significativa para os usuários de dispositivos Android. A capacidade do malware de evadir detecção e explorar vulnerabilidades do sistema torna essencial a adoção de medidas proativas de segurança por parte dos usuários e das empresas.
Fonte: BoletimSec