Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Vultur, novedoso troyano bancario para Android

Vultur, novedoso troyano bancario para Android

Por Deja un comentario

Este nuevo troyano bancario fue descubierto a finales de Marzo por los investigadores de ThreatFabric. Su modus operandi difiere del habitual. Mientras que lo usual es que se presente al usuario una superposición del malware sobre la aplicación legítima objetivo, en este caso el troyano hace uso de grabación de pantalla para obtener los datos sensibles de los usuarios.

Malware android

Mediante técnicas de recolección de inteligencia, los investigadores consiguieron la lista de entidades afectadas. La mayor parte de entidades objetivo se encuentran en Italia, Australia y España. Además de a entidades bancarias, este troyano también afecta a monederos de criptomonedas y redes sociales. En el siguiente gráfico se detalla el número de objetivos por cada país.

Fuente: ThreatFabric

El «dropper» utilizado por Vultur guarda ciertas similitudes con Brunhilda. Este último es un «dropper» operado de manera privada usado habitualmente para introducir el troyano Alien A. Ambos tienen un funcionamiento similar, comparten partes del código e incluso algunas direcciones CC (command and control).

Modus Operandi

Una vez instalado en el dispositivo, Vultur esconde su icono de aplicación y usa los servicios de accesibilidad de Android para conseguir los permisos necesarios para funcionar. Cuando se produce algún evento de accesibilidad, el malware comprueba si proviene de una aplicación de su lista de objetivos. Si es así comienza a registrar toda la información que el usuario introduce en la aplicación.

Además de dicho registro, Vultur usa un servidor VNC (Virtual Network Computing) local para obtener capturas de pantalla del dispositivo. Estas se envían, junto con las pulsaciones registradas, al CC. Para proporcionar acceso remoto al servidor VNC local, el malware se sirve de ngrok, un servicio que permite exponer a Internet servidores locales a través de túneles seguros.

La imagen a continuación resume el funcionamiento de este novedoso troyano bancario.

Fuente: ThreatFabric

Más información:

https://www.threatfabric.com/blogs/vultur-v-for-vnc.html

https://thehackernews.com/2021/07/new-android-malware-uses-vnc-to-spy-and.html

Libros recomendados

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.