Seguridad

Vultur, novedoso troyano bancario para Android

Este nuevo troyano bancario fue descubierto a finales de Marzo por los investigadores de ThreatFabric. Su modus operandi difiere del habitual. Mientras que lo usual es que se presente al usuario una superposición del malware sobre la aplicación legítima objetivo, en este caso el troyano hace uso de grabación de pantalla para obtener los datos sensibles de los usuarios.

Malware android

Mediante técnicas de recolección de inteligencia, los investigadores consiguieron la lista de entidades afectadas. La mayor parte de entidades objetivo se encuentran en Italia, Australia y España. Además de a entidades bancarias, este troyano también afecta a monederos de criptomonedas y redes sociales. En el siguiente gráfico se detalla el número de objetivos por cada país.

Fuente: ThreatFabric

El «dropper» utilizado por Vultur guarda ciertas similitudes con Brunhilda. Este último es un «dropper» operado de manera privada usado habitualmente para introducir el troyano Alien A. Ambos tienen un funcionamiento similar, comparten partes del código e incluso algunas direcciones CC (command and control).

Modus Operandi

Una vez instalado en el dispositivo, Vultur esconde su icono de aplicación y usa los servicios de accesibilidad de Android para conseguir los permisos necesarios para funcionar. Cuando se produce algún evento de accesibilidad, el malware comprueba si proviene de una aplicación de su lista de objetivos. Si es así comienza a registrar toda la información que el usuario introduce en la aplicación.

Además de dicho registro, Vultur usa un servidor VNC (Virtual Network Computing) local para obtener capturas de pantalla del dispositivo. Estas se envían, junto con las pulsaciones registradas, al CC. Para proporcionar acceso remoto al servidor VNC local, el malware se sirve de ngrok, un servicio que permite exponer a Internet servidores locales a través de túneles seguros.

La imagen a continuación resume el funcionamiento de este novedoso troyano bancario.

Fuente: ThreatFabric

Más información:

https://www.threatfabric.com/blogs/vultur-v-for-vnc.html

https://thehackernews.com/2021/07/new-android-malware-uses-vnc-to-spy-and.html

La entrada Vultur, novedoso troyano bancario para Android se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.