Il trojan bancario Vultur per Android è tornato alla ribalta con una nuova versione che ha messo in allarme la comunità globale. Questo malware, noto per la sua capacità di prendere il controllo dei dispositivi infetti, è stato individuato per la prima volta tre anni fa da ThreatFabric e da allora è considerato uno dei più pericolosi nel suo genere.
L’ultima versione del malware
La nuova versione di Vultur, di cui parla Fox-IT di NCC GROUP in un report , offre funzionalità migliorate e un meccanismo di evasione più avanzato, rendendolo ancora più insidioso.
“La maggior parte dei comandi aggiunti sono legati alla funzionalità di accesso remoto tramite i servizi di accessibilità di Android, consentendo all’operatore del malware di interagire in remoto con lo schermo della vittima“.
Utilizza tecniche sofisticate per eludere l’analisi e il rilevamento, come la criptazione della comunicazione con il server C2 (utilizza la crittografia AES e la codifica Base64) e l’uso di payload multipli crittografati.
Il flusso di attacco
Le tecniche di attacco degli operatori Vultur si sono evolute anche utilizzando una combinazione di messaggi SMS e chiamate telefoniche, per distribuire il malware tramite versioni modificate di app legittime che nascondono il dropper Brunhilda: il dropper distribuisce la nuova versione del malware bancario attraverso 3 payload.
Una volta installato, il trojan può eseguire una vasta gamma di operazioni dannose, come scaricare, caricare, eliminare e installare file, nonché registrare lo schermo dello smartphone infetto.
Come proteggersi
Per proteggersi da Vultur, è fondamentale installare applicazioni solo da fonti affidabili, verificare le recensioni e i permessi richiesti dalle app, mantenere aggiornato il sistema operativo e le app, e utilizzare soluzioni antivirus affidabili. Inoltre, è importante essere cauti con i messaggi SMS sospetti e le chiamate che inducono a scaricare applicazioni o a fornire informazioni personali.