Vultur Android Malware

Un nouveau cheval de Troie bancaire Android a été découvert par les chercheurs. Ils l'ont nommé Vultur et ont divulgué des informations sur certaines de ses caractéristiques, qui semblent être utilisées pour la première fois dans une menace de malware de ce type. Cependant, l'objectif final de la menace est toujours d'obtenir les informations d'identification bancaires et d'autres informations utilisateur sensibles et d'exfiltrer les données vers le serveur des cybercriminels. Jusqu'à présent, Vultur cible les applications des entités bancaires et liées à la cryptographie de plusieurs pays, l'accent étant principalement mis sur l'Italie, l'Australie et l'Espagne.

Vecteur d'attaque initial et capacités

Vultur s'est déguisé en une fausse application de sécurité nommée "Protection Guard", qui était disponible en téléchargement sur le Google Play Store. Avant d'être supprimée, l'application menaçante avait réussi à amasser environ 5 000 téléchargements. Une fois à l'intérieur de l'appareil de l'utilisateur, Vultur dévoile son véritable potentiel nocif.

Au lieu de la méthode d'attaque par superposition typique observée dans la plupart des autres chevaux de Troie bancaires, Vultur utilise une nouvelle technique. Il utilise les capacités de partage d'écran à distance de Virtual Network Computing (VNC) pour commencer à suivre de manière illicite toutes les activités menées sur l'appareil compromis. Pour faciliter l'accès à distance au serveur VNC qui s'exécute localement sur l'appareil, la menace déploie un utilitaire multiplateforme connu sous le nom de « ngrok ». Enfin, pour lancer ses routines de keylogging, Vultur exploite les services d'accessibilité sur l'appareil, un comportement courant associé aux chevaux de Troie bancaires.

Relation avec un autre logiciel malveillant

Les chercheurs ont également découvert des liens entre Vultur et une menace de compte-gouttes précédemment détectée nommée Brunhilda. Le compte-gouttes a fait partie de plusieurs opérations dangereuses documentées et est censé être proposé dans un schéma MaaS (Malware-as-a-Service). Il peut fournir différents types de logiciels malveillants aux appareils de la victime et est généralement distribué via des applications armées sur le Play Store. Les chevauchements entre les deux menaces ont été trouvés dans le code source et l'infrastructure de commandement et de contrôle (C2, C&C) des attaques.