La nouvelle souche d'Android RAT cible la banque et la crypto
Des chercheurs en sécurité mobile ont publié des informations sur un malware Android jusqu'alors inconnu, baptisé Vultur. Le malware agit comme un cheval de Troie d'accès à distance et abuse de l'enregistrement d'écran pour voler les données des applications bancaires et cryptographiques.
Vultur abuse des capacités d'enregistrement d'écran et de partage d'écran de VNC ou de réseau virtuel pour surveiller l'activité sur les écrans des appareils infectés. Selon les chercheurs, les principales cibles de Vultur étaient les applications utilisées pour la gestion bancaire et de portefeuille crypto, en mettant l'accent sur les pays européens et l'Australie.
Pendant un certain temps, le malware a réussi à survivre à la détection et a été distribué sur le Google Play Store officiel, caché dans une application malveillante appelée "Protection Guard", se faisant passer pour un assistant de sécurité téléphonique. L'application malveillante a réussi à marquer plus de 5 000 téléchargements.
Ce qui distingue Vultur des logiciels malveillants RAT similaires, c'est qu'il ne repose pas sur des superpositions HTML qui exfiltrent les informations d'identification. Les chercheurs ont noté que l'approche de superposition nécessite généralement "un investissement plus important en temps et en efforts". Au lieu de cela, Vultur s'appuie sur l'enregistrement d'écran et l'enregistrement de frappe, ce qui est une approche plus simple et plus évolutive.
Traditionnellement, les logiciels malveillants bancaires utilisaient une recréation convaincante de l'interface d'origine et de la page de connexion d'une application affichée au-dessus de l'application d'origine, capturant toutes les informations d'identification saisies. Les chercheurs pensent que les acteurs de la menace abandonnent progressivement cette approche et essaient de trouver de nouvelles façons plus efficaces de voler des informations d'identification.
Les chercheurs qui ont examiné Vultur ont également trouvé des similitudes entre le nouveau RAT et un malware Android existant précédemment nommé Brunhilda. Brunhilda est un compte-gouttes utilisé pour distribuer différentes charges utiles finales, dans ce que les chercheurs appellent le modèle « compte-gouttes en tant que service ».
L'essentiel est une tendance observable et pousse à s'éloigner des chevaux de Troie achetés sur des sites Web de pirates et des mauvais acteurs se concentrant davantage sur les logiciels malveillants qui sont plus évolutifs et mieux adaptés à leurs besoins spécifiques. La structure des logiciels malveillants comme Vultur permet à toutes les actions d'être scriptées et intégrées au backend et de faciliter les attaques hit and run.