Vultur, novedoso troyano bancario para Android

3 de agosto de 2021 Gustavo Genez

Este nuevo troyano bancario fue descubierto a finales de Marzo por los investigadores de ThreatFabric. Su modus operandi difiere del habitual. Mientras que lo usual es que se presente al usuario una superposición del malware sobre la aplicación legítima objetivo, en este caso el troyano hace uso de grabación de pantalla para obtener los datos sensibles de los usuarios.

Mediante técnicas de recolección de inteligencia, los investigadores consiguieron la lista de entidades afectadas. La mayor parte de entidades objetivo se encuentran en Italia, Australia y España. Además de a entidades bancarias, este troyano también afecta a monederos de criptomonedas y redes sociales. En el siguiente gráfico se detalla el número de objetivos por cada país.

El «dropper» utilizado por Vultur guarda ciertas similitudes con Brunhilda. Este último es un «dropper» operado de manera privada usado habitualmente para introducir el troyano Alien A. Ambos tienen un funcionamiento similar, comparten partes del código e incluso algunas direcciones CC (command and control).

Modus Operandi

Una vez instalado en el dispositivo, Vultur esconde su icono de aplicación y usa los servicios de accesibilidad de Android para conseguir los permisos necesarios para funcionar. Cuando se produce algún evento de accesibilidad, el malware comprueba si proviene de una aplicación de su lista de objetivos. Si es así comienza a registrar toda la información que el usuario introduce en la aplicación.

Además de dicho registro, Vultur usa un servidor VNC (Virtual Network Computing) local para obtener capturas de pantalla del dispositivo. Estas se envían, junto con las pulsaciones registradas, al CC. Para proporcionar acceso remoto al servidor VNC local, el malware se sirve de ngrok, un servicio que permite exponer a Internet servidores locales a través de túneles seguros.

La imagen a continuación resume el funcionamiento de este novedoso troyano bancario.