Android bankovni trojanac poznat kao Vultur ponovo se pojavio sa paketom novih funkcija i poboljšanim tehnikama za izbjegavanje analize i otkrivanja, omogućavajući njegovim operaterima daljinsku interakciju s mobilnim uređajem i prikupljanje osjetljivih podataka.
“Vultur je također počeo da više maskira svoje zlonamjerne aktivnosti šifriranjem svoje C2 komunikacije, korištenjem višestrukih šifriranih korisnih podataka koji se dešifruju u hodu i korištenjem maske legitimnih aplikacija za izvođenje svojih zlonamjernih radnji”, rekao je istraživač NCC grupe Joshua Kamp u izvještaju objavljenom prošle sedmice.
Vultur je prvi put otkriven početkom 2021. godine, sa malverom koji je sposoban iskoristiti API-je za usluge pristupačnosti Androida kako bi izvršio svoje zlonamjerne radnje.
Primijećeno je da se zlonamjerni softver distribuiše putem trojaniziranih dropper aplikacija na Google Play Store-u, maskirajući se u aplikacije za autentifikaciju i produktivnost kako bi nesvjesne korisnike natjerali da ih instaliraju. Ove dropper aplikacije se nude kao dio operacije dropper-as-a-service (DaaS) pod nazivom Brunhilda.
Drugi lanci napada, kako je primijetila NCC Group, uključuju da se dropper širi kombinacijom SMS poruka i telefonskih poziva – tehnika koja se zove telefonski orijentirana isporuka napada (TOAD) – kako bi se na kraju poslužila ažurirana verzija zlonamjernog softvera.
“Prva SMS poruka vodi žrtvu do telefonskog poziva”, rekao je Kamp. Kada žrtva nazove broj, prevarant daje žrtvi drugi SMS koji uključuje vezu do droppera: modifikovanu verziju [legitimne] aplikacije McAfee Security.”
Inicijalna SMS poruka ima za cilj da izazove lažni osjećaj hitnosti upućivanjem primaoca da pozovu broj kako bi odobrili nepostojeću transakciju koja uključuje veliku sumu novca.
Nakon instalacije, maliciozni dropper izvršava tri povezana korisna opterećenja (dva APK-a i jedan DEX fajl) koji registruju bota na C2 serveru, dobijaju dozvole usluga pristupačnosti za daljinski pristup preko AlphaVNC-a i ngrok-a i pokreću komande dohvaćene sa C2 servera.
Jedan od istaknutih dodataka Vulturu je mogućnost daljinske interakcije sa zaraženim uređajem, uključujući izvođenje klikova, pomicanja i prevlačenja putem Androidovih usluga pristupačnosti, kao i preuzimanje, otpremanje, brisanje, instaliranje i pronalaženje datoteka.
Uz to, zlonamjerni softver je opremljen da spriječi interakciju žrtava s unaprijed definisanom listom aplikacija, prikazuje prilagođena obavještenja u statusnoj traci, pa čak i onemogućuje Keyguard kako bi zaobišla sigurnosne mjere zaključanog ekrana.
“Vulturov nedavni razvoj pokazao je pomak u fokusu ka maksimizovanju daljinske kontrole nad zaraženim uređajima”, rekao je Kamp.
„Sa mogućnošću izdavanja komandi za pomicanje, pokrete prevlačenja, klikove, kontrolu jačine zvuka, blokiranje pokretanja aplikacija, pa čak i ugradnju funkcije upravljenja datotekama, jasno je da je primarni cilj sticanje potpune kontrole nad kompromitovanim uređajima.”
Razvoj događaja dolazi kada je Team Cymru otkrio da je Octo (aka Coper) Android bankarski trojanac prešao na operaciju malware-as-a-service, nudeći svoje usluge drugim hakerima za provođenje krađe informacija.
“Malver nudi niz naprednih funkcija, uključujući keylogging, presretanje SMS poruka i push obavještenja, te kontrolu nad ekranom uređaja”, rekli su iz kompanije.
“Upotrebljava različite injekcije za krađu osjetljivih informacija, kao što su lozinke i kredencijali za prijavu, prikazivanjem lažnih ekrana ili preklapanja. Osim toga, koristi VNC (Virtual Network Computing) za daljinski pristup uređajima, poboljšavajući svoje mogućnosti nadzora.”
Procjenjuje se da su Octo kampanje kompromitovale 45.000 uređaja, prvenstveno u Portugalu, Španiji, Turskoj i SAD-u. Neke od drugih žrtava nalaze se u Francuskoj, Holandiji, Kanadi, Indiji i Japanu.
Nalazi takođe prate pojavu nove kampanje za Android korisnike u Indiji koja distribuiše zlonamjerne APK pakete koji se predstavljaju kao online rezervacije, naplate i kurirske usluge putem ponude malvera kao usluge (MaaS).
Malver “cilja na krađu bankarskih informacija, SMS poruka i drugih povjerljivih informacija sa uređaja žrtava”, navodi Symantec u vlasništvu Broadcoma u biltenu.
Izvor: The Hacker News