Un informe de Fox-IT, compañía perteneciente al Grupo NCC, ha alertado sobre una versión nueva y más evasiva del malware Vultur. Esta se propaga a las víctimas a través de un ataque híbrido que se basa en smishing (SMS phising) y llamadas telefónicas.
Esta nueva cadena de infección arranca cuando una víctima recibe un SMS alertando de una transacción no autorizada e indicándola que llame a un número proporcionado para obtener orientación, según informa Bleeping Computer.
Si llama quien responde es un estafador que persuade a la víctima para que abra el enlace que llega con un segundo SMS. Dicho mensaje de texto dirige a un sitio web que ofrece una versión modificada de la aplicación de antivirus McAfee Security. Y en esta herramienta con troyano se oculta el dropper de malware Brunhilda.
Una vez instalada la app, esta es capaz de descifrar y ejecutar tres cargas útiles relacionadas con Vultur, teniendo a su merced los servicios de accesibilidad, lo cual le da la posibilidad de hacer clics, desplazamientos y gestos de deslizamiento. Así inicializa los sistemas de control remoto y establece una conexión con el servidor de comando y control (C2).
Entre sus nuevos 'superpoderes' el malware puede mostrar notificaciones personalizadas para engañar a las víctimas, bloquear aplicaciones específicas para que no se ejecuten en el dispositivo, llevar a cabo acciones de administración de archivos que incluyen descargar, cargar, eliminar, instalar y buscar archivos en el dispositivo.
A ello se unen nuevos mecanismos de evasión, como cifrar sus comunicaciones C2, utilizar múltiples cargas útiles cifradas que se descifran sobre la marcha cuando es necesario y enmascarar sus actividades maliciosas bajo la apariencia de de aplicaciones legítimas.
Por otro lado, la última versión del malware Vultur que han 'diseccionado' los investigadores mantiene varias características clave de iteraciones anteriores, como grabación de pantalla, registro de teclas y acceso remoto a través de AlphaVNC y ngrok, lo que permite a los atacantes monitorización y control en tiempo real.
Desde Bleeping destacan que "el autor del malware ha hecho un esfuerzo para mejorar el sigilo del mismo y agregar nuevas funciones a un ritmo rápido, lo que indica que las versiones futuras probablemente agregarán más capacidades".
Uno de los malwares más activos
El malware Vultur se documentó por primera vez en marzo de 2021 gracias a los investigadores de la empresa de detección de fraude ThreatFabric. A finales de 2022 pudieron percatarse de que se distribuía en Google Play mediante droppers.
Vultur fue incluido por la plataforma de seguridad móvil Zimperium a finales del año pasado como uno de los 10 troyanos bancarios más activos del ejercicio. Se calcula que nueve de sus variantes han tenido como objetivo apps bancarias en 15 países.