Se descubrió que el troyano de acceso remoto basado en Android (RAT) previamente no documentado utiliza la captura de pantalla para robar información confidencial en un dispositivo, incluidas las credenciales bancarias, y abre la puerta al fraude del dispositivo.
El malware móvil, apodado «Vultur» debido al uso de la tecnología de pantalla compartida remota Virtual Network Computing (VNC) para obtener una visibilidad completa para los usuarios objetivo, se distribuyó a través de la tienda oficial de Google Play y se disfrazó como una aplicación llamada «Protection Guard». , ”Atrae a más de 5.000 instalaciones. El objetivo principal eran las aplicaciones bancarias y de criptomonedas de entidades ubicadas en Italia, Australia y España.
«Por primera vez, vemos el troyano bancario de Android, que tiene la grabación de pantalla y el registro de teclas como estrategia principal para obtener datos de inicio de sesión de forma automatizada y escalable», dijeron los investigadores de ThreatFabric en una publicación compartida con The Hacker News.
«Los actores han optado por evitar el desarrollo común de superposiciones HTML que normalmente vemos con otros troyanos bancarios de Android: este enfoque generalmente requiere más tiempo y esfuerzo por parte de los actores para crear más superposiciones capaces de engañar a los usuarios. En su lugar, simplemente eligen ver qué es se muestra en la pantalla, y efectivamente obtendrá el mismo resultado final «.
Mientras que el malware bancario como MysteryBot, Grandoreiro, Banker.BR y Vizom se ha basado tradicionalmente en ataques de superposición, es decir, crear una versión falsa de la página de inicio de sesión del banco y superponerla a través de una aplicación legítima, para que las víctimas revelen sus contraseñas. y otra información privada importante, existe una creciente evidencia de que los actores de amenazas se están alejando de este enfoque.
En un informe publicado a principios de esta semana, la ciberseguridad italiana Cleafy presentó UBEL, una versión actualizada de Oscorp que WebRTC observó para interactuar con un teléfono Android infectado en tiempo real. Vultur usa una táctica similar en el sentido de que usa permisos de accesibilidad para capturar pulsaciones de teclas y usa la función de grabación de pantalla VNC para registrar en secreto todas las actividades en el teléfono, evitando así la necesidad de registrar un nuevo dispositivo y dificultando que los bancos detecten el fraude.
Además, el malware usa ngrok, una herramienta multiplataforma que se usa para exponer servidores locales para NAT y firewalls a la Internet pública a través de túneles seguros para brindar acceso remoto a un servidor VNC que se ejecuta localmente en el teléfono. Además, también se conecta al servidor de comando y control (C2) para recibir comandos a través de Firebase Cloud Messaging (FCM), cuyos resultados, incluidos los datos extraídos y las capturas de pantalla, se transmiten luego al servidor.
La investigación de ThreatFabric también vinculó a Vultur con otro malware conocido llamado Brunhilda, un cuentagotas que usa Play Store para distribuir varios tipos de malware en una operación llamada «goteo como servicio» (DaaS), alegando superposición. en el código fuente y la infraestructura C2 utilizada para facilitar los ataques.
Estos enlaces, según la compañía de servicios de seguridad cibernética con sede en Ámsterdam, sugieren que Brunhilda es un actor de amenazas privado con su propio cuentagotas y RAT Vultur patentado.
«La historia de Vulture muestra una vez más cómo los actores están pasando del uso de caballos de Troya alquilados (MaaS), que se venden en mercados clandestinos, a malware propietario/privado adaptado a las necesidades del grupo», concluyeron los investigadores. «Estos ataques son escalables y automatizados porque las acciones de fraude pueden escribirse en el backend del malware y enviarse en forma de una secuencia de comandos, lo que facilita la intervención y el lanzamiento de los actores».
