Biztonsági kutatók a Vultur banki trójai Androidra szánt új verzióját fedezték fel, amely fejlettebb távvezérlési képességeket és egy továbbfejlesztett kikerülési mechanizmust tartalmaz.
A Vultur legújabb fertőzési lánca azzal kezdődik, hogy az áldozat SMS üzenetet kap, amely egy jogosulatlan banki tranzakcióra figyelmeztet, és arra utasítja az áldozatot, hogy hívjon fel egy megadott számot útmutatásért.
A hívást egy csaló fogadja, aki ráveszi az áldozatot, hogy nyisson meg egy második SMS-ben érkező linket, amely egy olyan webhelyre irányít, amely a McAfee Security alkalmazás egy módosított változatát tartalmazza. A trójai vírussá alakított McAfee Security alkalmazáson belül található a “Brunhilda” malware dropper.
Telepítéskor az alkalmazás visszafejt és végrehajt három Vulturhoz kapcsolódó payload-ot, amelyek hozzáférést szereznek szolgáltatásokhoz, inicializálják a távvezérlő rendszereket, és kapcsolatot létesítenek a C2 szerverrel.
A kutatók által elemzett Vultur kártevő legújabb verziója több kulcsfontosságú funkciót megtart a régebbi iterációkból, például a képernyőfelvételt, a billentyűzetfigyelést és a távoli hozzáférést, ami lehetővé teszi a támadók számára a valós idejű megfigyelést és irányítást.
A régi változatokhoz képest az új Vultur számos új funkciót vezetett be, többek között:
- Fájlkezelési műveletek az eszközön (letöltés, feltöltés, törlés, telepítés, fájlok keresése).
- Akadálymentesítési szolgáltatások használata a kattintások, görgetések és húzások gesztusainak végrehajtásához.
- Bizonyos alkalmazások blokkolása az eszközön történő futtatáshoz, egyéni HTML vagy “Átmenetileg nem elérhető” üzenet megjelenítése a felhasználónak.
- Egyéni értesítések megjelenítése az állapotsorban az áldozat félrevezetése érdekében.
- A Keyguard kikapcsolása a képernyőzárolás biztonságának megkerülése és a készülékhez való korlátlan hozzáférés megszerzése érdekében.
A rosszindulatú szoftverek Androidon történő fertőzésének kockázatának minimalizálása érdekében a felhasználóknak ajánlott, hogy csak megbízható helyről töltsenek le alkalmazásokat, például az Android hivatalos alkalmazásboltjából, a Google Play-ről, és kerüljék az üzenetekben található URL címekre való kattintást.
Mindig érdemes ellenőrizni, hogy az alkalmazás telepítéskor milyen engedélyeket kér, és meggyőződni arról, hogy csak az alkalmazás alapvető funkcióihoz szükséges engedélyekhez kapjon hozzáférést. Egy jelszókezelő alkalmazásnak például nem szabadna hozzáférést kérnie a telefon kamerájához vagy mikrofonjához.