Selon le dernier article de SecurityWeek, le malware bancaire d'Android, AKA Vultur, est de nouveau apparu avec une mise à jour majeure qui lui donne une capacité étendue d'interagir avec les appareils infectés et de manipuler des fichiers. Vultur a fait surface pour la première fois en mars 2021 lorsque le logiciel malveillant a infecté des applications authentiques telles que AlphaVNC et ngrok pour accéder à distance aux serveurs VNC situés sur les appareils des victimes, permettant ainsi un enregistreur d'écran et un enregistreur de frappe pour le vol d'informations d'identification.

Le cheval de Troie Android mis à jour Vultur peut désormais prendre le contrôle total des appareils infectés et accéder à ses fichiers.

La récente édition de Vultur améliore encore ses fonctionnalités et permet désormais un contrôle total sur les machines compromises. Il s'agit notamment des interférences avec les applications, de la publication de notifications personnalisées, du contournement des protections de l'écran de verrouillage et de la manipulation de fichiers en téléchargeant, en téléchargeant, en installant, en recherchant ou en supprimant.

Bien que le rapport du groupe NCC indique que ce malware s'appuie principalement sur AlphaVNC et ngrok pour l'accès à distance, sa dernière version est dotée de mécanismes améliorés d'anti-analyse et d'évasion de détection. Celles-ci impliquent plusieurs charges utiles, la modification d'applications innocentes, un code natif pour le décryptage des charges utiles et un cryptage AES pour la communication de commande et de contrôle (C&C).

Normalement, un message SMS envoie une requête ping à la victime, lui demandant d'appeler immédiatement un numéro spécifique pour traiter une transaction non autorisée. Peu de temps après, un autre SMS parvient à l'appareil contenant une URL malveillante pointant vers un package McAfee Security falsifié qui sert de dropper au malware lui-même.

Dans le cadre du dropper appelé Brunhilda, Vultur se compose de trois composants appelés charges utiles qui visent à faciliter les étapes ultérieures d'exécution. Avec ces charges utiles en place, Vultur peut obtenir les privilèges du service d'accessibilité, configurer AlphaVNC et ngrok et exécuter les fonctionnalités de base de porte dérobée.

Avec le contrôle à distance, les attaquants peuvent également effectuer des gestes et vous empêcher d'accéder à l'appareil.

Pour prendre en charge l'interaction à distance, Vultur contient désormais sept nouvelles méthodes C&C permettant aux attaquants d'effectuer différentes actions telles que des clics, des défilements et des gestes de balayage. Lorsqu'on parle de Firebase Cloud Messaging (FCM), il existe également 41 nouvelles commandes utilisant ces privilèges, et la communication SMS permet des opportunités sans connexions permanentes entre les sources.

De plus, la dernière édition de Vultur supprime la possibilité pour l'utilisateur d'interagir avec certaines applications. En bref, la mise à jour de Vultur représente un danger important pour les utilisateurs d'Android, car elle permet désormais de contrôler à distance les appareils infectés et de manipuler les fichiers. Par conséquent, NCC conseille aux propriétaires d’Android de rester prudents.

A lire également