Malware Vultur
AS-079-2021
Fecha: 3/08/2021
Resumen:
A finales de marzo de 2021, ThreatFabric detectó un nuevo malware RAT que lo denominaron Vultur debido a su visibilidad total en el dispositivo de las víctimas a través de VNC. Por primera vez, un troyano bancario Android tiene la grabación de pantalla y el keylogging como estrategia principal para recolectar el inicio de sesión, credenciales de forma automatizada y escalable.
En septiembre de 2020, Bitdefender reportó que encontró en Google play, Malware denominado Cerberous y su sucesor denomindo “Alien”.
El equipo de ThreatFabric pudo encontrar al menos 2 aplicaciones “droppers”, conectadas a Vultur, una de ellas con más de 5000 instalaciones de Google Play. Por lo tanto, estimamos miles de víctimas potenciales.
Vultur aborda el fraude bancario con un Modus Operandi que es de alguna manera diferente de lo que son los troyanos bancarios androides. El troyano bancario habitual se basa en gran medida en el abuso de la mecánica de superposición, para engañar a las víctimas para que revelen sus contraseñas y otra información privada importante. En un ataque de superposición, los usuarios escriben sus credenciales en lo que creen que es una aplicación bancaria legítima, lo que efectivamente les da acceso a una página controlada por el atacante. Vultur, por otro lado, utiliza una técnica menos flexible técnicamente pero muy efectiva: la grabación de pantalla.
Siempre que cualquier evento nuevo desencadena el Servicio de eventos de accesibilidad, el bot comprueba si procede de una aplicación que forma parte de la lista de destinos de registro de claves. Si es así, utiliza los servicios de accesibilidad para registrar todo lo escrito por el usuario.
Los servicios se utilizan para evitar que el usuario elimine la aplicación del dispositivo utilizando los procedimientos tradicionales, como entrar en la configuración y desinstalar manualmente la aplicación. Cada vez que el usuario llega a la pantalla de detalles de la aplicación, el bot hace clic automáticamente en el botón Atrás, enviando al usuario a la pantalla de configuración principal, lo que efectivamente no permite el acceso al botón de desinstalación.
Tras ocultar su icono, Vultur procede a iniciar su servicio encargado de gestionar la funcionalidad principal del troyano, que es la grabación de pantalla mediante VNC (Virtual Network Computing). VNC es una implementación de software específica, pero no es raro que los actores maliciosos usen el término 'VNC' para referirse a cualquier cosa que caiga bajo el paraguas de Compartir pantalla con acceso remoto (puede que se lo realice usando un software de terceros como VNC o TeamViewer, o a través de características internas de Android, utilizadas por ejemplo el malware Oscorp. En el caso de Vultur en realidad se refiere a una implementación real de VNC tomada de AlphaVNC. Para proporcionar acceso remoto al servidor VNC que se ejecuta en el dispositivo, Vultur utiliza ngrok, el cual es capaz de exponer servidores locales detrás de NAT y firewalls a la Internet pública a través de túneles seguros.
Si el usuario presta atención al panel de notificaciones, también podría ver que Vultur, en este caso disfrazado de una aplicación llamada "Guardia de protección", está proyectando la pantalla.
Conclusión.
A medida que los canales móviles de las instituciones financieras continúan creciendo, el malware de banca móvil solo se volverá más popular. Además de un fuerte aumento en los volúmenes de malware móvil dirigidos a aplicaciones bancarias el año pasado y este año, vemos que el malware móvil se vuelve cada vez más sofisticado, lo que permite ataques a gran escala difíciles de detectar. Esto significa que las instituciones financieras deben considerar la posibilidad de prepararse para comprender mejor el riesgo e implementar estrategias de seguridad.
Recomendaciones.
Los usuarios deben estar atentos a aplicaciones y cambios de configuraciones en sus dispositivos móviles, Google Play Store cuenta con millones de apps disponibles para descarga, no obstante, no todas son seguras y pueden causar perjuicio a los usuarios, por lo que, en caso de duda no descargar la app.
Las instituciones financieras deben prepararse para enfrentar este riesgo, y disminuirlo con estrategia de seguridad.
Los usuarios de preferencia deben utilizar un computador de confianza libre de juegos, para registrar sus actividades bancarias.
Referencias:
https://www.threatfabric.com/blogs/vultur-v-for-vnc.html
https://therecord.media/new-android-malware-records-smartphones-via-vnc-to-steal-passwords/
https://thehackernews.com/2021/07/new-android-malware-uses-vnc-to-spy-and.html
