Les utilisateurs d'Android en proie au RAT de collecte de données Vultur
Les chercheurs en sécurité viennent de repérer un nouveau cheval de Troie d'accès à distance (RAT) qui collecte des données à partir d'appareils Android à travers le monde. Baptisé Vultur, le RAT est capable de collecter les identifiants de connexion et les informations bancaires et de déclencher l'exécution de code à distance (RCE) sur tout appareil infecté.
Table des matières
Un diable déguisé
Contrairement à d'autres formes de logiciels malveillants qui reposent généralement sur le spam et les liens sponsorisés pour se propager, les créateurs de Vultur ont décidé de donner au RAT un nom quelque peu trompeur - "Protection Guard". Ce dernier est disponible sur le Google Play Store officiel et a été téléchargé plus de cinq mille fois depuis sa création. Alors qu'un tel parasite pourrait atteindre des millions d'appareils Android en un clin d'œil, Vultur a adopté une approche personnalisée consistant à cibler uniquement les utilisateurs d'Android qui ont installé au moins une (ou plusieurs) application de monnaie numérique.
La première menace Android à utiliser VNC
Jamais auparavant il n'y avait eu de cheval de Troie ciblant Android capable de prendre une emprise de fer sur un appareil mobile. La clé du succès de Vultur en tant que malware est l'utilisation de Virtual Network Computing, ou VNC, qui permet au RAT d'effectuer un enregistrement et un keylogging automatisés à distance. Ainsi, Vultur semble faire plus de dégâts que ses homologues basés sur les attaques superposées, même si ces dernières sont beaucoup plus courantes. Dans une attaque par superposition, un cheval de Troie tel que Banker.BR, MysteryBot ou Grandoreiro, créera une fausse page de connexion et la chargera chaque fois que vous ouvrez votre véritable application bancaire pour collecter des mots de passe, des noms d'utilisateur, etc. Dans une attaque VNC, un cheval de Troie comme Vultur fera un enregistrement vidéo de tout ce qu'il repère à l'écran. Pour ce faire, le RAT doit obtenir l'autorisation de la cible pour conserver un journal des frappes, de la navigation Web, du multimédia, etc. Il capture également le contenu privé des serveurs locaux et établit un pont avec un serveur C&C actif.
Connexions à Brunhilda
Le Vultur RAT est similaire au tristement célèbre malware Brunhilda puisque les deux apparaissent sur le GooglePlay Store officiel masqués comme de simples outils d'optimisation de PC. Cependant, ces outils ont souvent tendance à exécuter des logiciels malveillants au lieu de corriger les bogues de votre système. Le Vultur RAT et le Brunhilda se sont développés à partir de zéro plutôt que loués ou achetés sur le Dark Web.