UPDATE: Een woordvoerder van Google nam contact op met een opmerking over de 'Vultur' Android-malware. Het bedrijf zegt hierover het volgende: “Android-gebruikers worden automatisch beschermd tegen bekende versies van deze malware door Google Play Protect, dat standaard aanstaat op Android-toestellen met Google Play Services. Google Play Protect kan gebruikers waarschuwen of apps blokkeren waarvan bekend is dat ze kwaadaardig gedrag vertonen, zelfs als die apps afkomstig zijn van bronnen buiten Play”.
Volgens het laatste bericht van SecurityWeek is de bankmalware voor Android, oftewel Vultur, opnieuw opgedoken met een grote update die hem uitgebreide mogelijkheden geeft om met geïnfecteerde apparaten te communiceren en bestanden te manipuleren. Vultur dook voor het eerst op in maart 2021 toen de malware echte applicaties zoals AlphaVNC en ngrok infecteerde op externe toegang tot VNC-servers op de apparaten van het slachtoffer, waardoor schermrecorder en keylogger voor diefstal van inloggegevens mogelijk werden.
De geüpgradede Android-trojan Vultur kan nu de volledige controle over geïnfecteerde apparaten overnemen en toegang krijgen tot de bestanden ervan
De recente editie van Vultur verbetert de functies verder en biedt nu volledige controle over gecompromitteerde machines. Deze omvatten interferentie met applicaties, het plaatsen van aangepaste meldingen, het omzeilen van de beveiliging op het vergrendelingsscherm en het manipuleren van bestanden door het downloaden, uploaden, installeren, zoeken of verwijderen.
Hoewel het rapport van NCC Group aangeeft dat deze malware voor externe toegang voornamelijk afhankelijk is van AlphaVNC en ngrok, wordt de nieuwste versie geleverd met verbeterde anti-analyse- en detectie-ontwijkingsmechanismen. Het gaat daarbij om meerdere payloads, het wijzigen van onschuldige apps, native code voor decryptie van de payload en AES-encryptie voor command-and-control (C&C)-communicatie.
Normaal gesproken pingt een sms-bericht naar het slachtoffer, waarin wordt gevraagd onmiddellijk een specifiek nummer te bellen om een ongeautoriseerde transactie af te handelen. Kort daarna bereikt een ander sms-bericht het apparaat met een kwaadaardige URL die verwijst naar een geknoeid McAfee Security-pakket dat dient als dropper van de malware zelf.
Onder het dropper-framework genaamd Brunhilda bestaat Vultur uit drie componenten, payloads genaamd, die tot doel hebben de volgende uitvoeringsfasen te vergemakkelijken. Met deze payloads kan Vultur Accessibility Service-privileges verkrijgen, AlphaVNC en ngrok instellen en de belangrijkste backdoor-functionaliteit uitvoeren.
Met afstandsbediening kunnen aanvallers ook gebaren uitvoeren en u buitensluiten van het apparaat
Om interactie op afstand te ondersteunen, bevat Vultur nu zeven nieuwe C&C-methoden waarmee aanvallers verschillende acties kunnen uitvoeren, zoals klikken, scrollen en veegbewegingen. Als we het hebben over Firebase Cloud Messaging (FCM), zijn er ook 41 nieuwe opdrachten die gebruik maken van deze rechten, en sms-communicatie biedt mogelijkheden zonder permanente verbindingen tussen bronnen.
Bovendien ontneemt de nieuwste editie van Vultur de mogelijkheid van de gebruiker om met bepaalde applicaties te communiceren. Kortom, de bijgewerkte Vultur vormt een aanzienlijk gevaar voor Android-gebruikers, omdat deze nu afstandsbediening over geïnfecteerde apparaten bevat en bestanden manipuleert. Daarom adviseert NCC Android-bezitters om voorzichtig te blijven.