Il nuovo ceppo di Android RAT si rivolge a banche e criptovalute
I ricercatori di sicurezza mobile hanno pubblicato informazioni su un malware Android precedentemente sconosciuto, soprannominato Vultur. Il malware agisce come un trojan di accesso remoto e abusa della registrazione dello schermo per rubare dati da applicazioni bancarie e crittografiche.
Vultur abusa delle capacità di registrazione e condivisione dello schermo di VNC o di elaborazione di rete virtuale per monitorare l'attività sugli schermi dei dispositivi infetti. Gli obiettivi primari di Vultur, secondo i ricercatori, erano le applicazioni utilizzate per la gestione dei portafogli bancari e crittografici, con particolare attenzione ai paesi europei e all'Australia.
Per un po' il malware è riuscito a sopravvivere al rilevamento ed è stato distribuito sul Google Play Store ufficiale, nascosto in un'app dannosa chiamata "Protection Guard", spacciandosi per un aiutante di sicurezza del telefono. L'app dannosa è riuscita a totalizzare oltre 5mila download.
Ciò che distingue Vultur da un malware RAT simile è che non si basa su overlay HTML che esfiltrano le credenziali. I ricercatori hanno notato che l'approccio a sovrapposizione di solito richiede "un investimento di tempo e impegno maggiore". Invece, Vultur si basa sulla registrazione dello schermo e sul keylogging, che è un approccio più semplice e scalabile.
Tradizionalmente, il malware bancario utilizza una convincente ricreazione dell'interfaccia originale e della pagina di accesso di un'app che viene visualizzata sopra l'app originale, catturando tutte le credenziali inserite. I ricercatori ritengono che gli attori delle minacce stiano gradualmente abbandonando questo approccio e stiano cercando di trovare modi nuovi e più efficienti per rubare le credenziali.
I ricercatori che hanno esaminato Vultur hanno anche trovato alcune somiglianze tra il nuovo RAT e un pezzo di malware Android precedentemente esistente chiamato Brunhilda. Brunhilda è un dropper utilizzato per distribuire diversi payload finali, in quello che i ricercatori chiamano modello "dropper-as-a-service".
La linea di fondo è una tendenza osservabile e spinge ad allontanarsi dai trojan acquistati sui siti Web di hacker e dai malintenzionati concentrandosi maggiormente sul malware più scalabile e più adatto alle loro esigenze specifiche. La struttura di malware come Vultur consente a tutte le azioni di essere scriptate e integrate nel back-end e consente attacchi mordi e fuggi più facili.