Novo tipo de Android RAT visa Banking and Crypto
Os pesquisadores de segurança móvel publicaram informações sobre um malware Android até então desconhecido, apelidado de Vultur. O malware atua como um cavalo de Troia de acesso remoto e abusa da gravação de tela para roubar dados de aplicativos bancários e criptográficos.
O Vultur abusa dos recursos de VNC ou de gravação de tela de computação de rede virtual e compartilhamento de tela para monitorar a atividade nas telas de dispositivos infectados. Os alvos principais da Vultur, de acordo com os pesquisadores, eram aplicativos usados para gerenciamento bancário e de crypto wallet, com foco em países europeus e na Austrália.
Por um tempo, o malware conseguiu sobreviver à detecção e foi distribuído na Google Play Store oficial, escondido em um aplicativo malicioso chamado "Protection Guard", que se faz passar por um ajudante de segurança do telefone. O aplicativo malicioso conseguiu marcar mais de 5 mil downloads.
O que diferencia o Vultur de malware RAT semelhante é que ele não depende de sobreposições de HTML que exfiltram credenciais. Os pesquisadores notaram que a abordagem de sobreposição geralmente requer "um maior investimento de tempo e esforço". Em vez disso, o Vultur depende da gravação de tela e do keylogging, que é uma abordagem mais fácil e escalonável.
Tradicionalmente, o malware bancário usaria uma recriação convincente da interface original e da página de login de um aplicativo que é exibida na parte superior do aplicativo original, capturando todas as credenciais inseridas. Os pesquisadores acreditam que os agentes de ameaças estão abandonando gradualmente essa abordagem e tentando descobrir maneiras novas e mais eficientes de roubar credenciais.
Os pesquisadores que examinaram o Vultur também encontraram algumas semelhanças entre o novo RAT e um malware Android previamente existente chamado Brunhilda. Brunhilda é um conta-gotas usado para distribuir diferentes cargas úteis finais, no que os pesquisadores chamam de modelo "conta-gotas como serviço".
O resultado final é uma tendência observável e impulso para se afastar dos cavalos de Tróia comprados em sites de hackers e malfeitores, concentrando-se mais em malware que é mais escalonável e mais adequado às suas necessidades específicas. A estrutura de malware como o Vultur permite que todas as ações sejam inseridas em script e integradas ao back-end, facilitando os ataques de ataque e execução.