Güvenlik araştırmacıları, Android için Vultur Bankacılık Truva atı'nın daha gelişmiş uzaktan kumanda yetenekleri ve gelişmiş bir kaçış mekanizması içeren yeni bir versiyonunu buldular.
Dolandırıcılık Tespit Şirketi'ndeki araştırmacılar Tehdit Fabric ilk olarak kötü amaçlı yazılımları Mart 2021'de belgeledi ve 2022'nin sonlarında, Google Play üzerinden damlalık uygulamaları aracılığıyla dağıtıldığını gözlemlediler.
2023'ün sonunda, mobil güvenlik platformu Zimperium, Vultur'u yıl için en aktif 10 bankacılık Truva atına dahil etti ve varyantlarından dokuzu 15 ülkede 122 bankacılık uygulamasını hedeflediğini belirtti.
NCC grubunun bir parçası olan Fox-It'den bir rapor, Vultur'un yeni, daha kaçınılmaz bir versiyonunun, hedefleri bir versiyonu kurmaya yönlendiren hile yapan hibrit bir saldırı yoluyla kurbanlara yayıldığı konusunda kurbanlara yayıldığı konusunda uyarıyor. McAfee Güvenlik Uygulaması olarak maskelenen kötü amaçlı yazılım.
Vultur’un en son enfeksiyon zinciri, kurbanın yetkisiz bir işlemde uyaran bir SMS mesajı alması ve rehberlik için sağlanan bir numarayı çağırmayı talimat vermesiyle başlar.
Çağrı, kurbanı ikinci bir SMS ile gelen bağlantıyı açmaya ikna eden bir dolandırıcı tarafından cevaplandı, bu da McAfee Güvenlik Uygulamasının değiştirilmiş bir sürümünü sunan bir siteye yönlendiriyor.
Truva atı McAfee Güvenlik uygulamasının içinde 'Brunhilda' kötü amaçlı yazılım damlası var.
Kurulum üzerine uygulama, erişilebilirlik hizmetlerine erişim sağlayan, uzaktan kumanda sistemlerini başlatan ve komut ve kontrol (C2) sunucusu ile bir bağlantı kuran, vultur ile ilgili üç yükü (iki APK ve bir DEX dosyası) şifresini çözer ve yürütür.
Araştırmacıların analiz ettiği Vultur kötü amaçlı yazılımların en son sürümü, ALPHAVNC ve NGROK üzerinden ekran kaydı, keyloglama ve uzaktan erişim gibi eski iterasyonlardan birkaç temel özellik tutar ve saldırganlara gerçek zamanlı izleme ve kontrol sağlar.
Eski varyantlarla karşılaştırıldığında, yeni Vultur aşağıdakileri içeren bir dizi yeni özellik sundu:
Bu özelliklere ek olarak, en son Vultur sürümü, gerektiğinde anında şifreli birden fazla şifreli yükü kullanarak C2 iletişimini (AES + Base64) şifreleme (AES + Base64) gibi yeni kaçırma mekanizmaları da ekledi. meşru uygulamalar.
Ayrıca, kötü amaçlı yazılım, yükün çözülmesini için yerel kod kullanır, bu da ters mühendislik işlemini zorlaştırır ve aynı zamanda tespitten kaçınmaya yardımcı olur.
Araştırmacılar, Vultur'un geliştiricilerinin kaydırma, kaydırma hareketleri, tıklamalar, ses kontrolü ve uygulamaların çalışmasını engelleme komutlarıyla enfekte olmuş cihazlar üzerindeki uzaktan kumanda özelliğini geliştirmeye odaklandığını belirtiyor.
Kötü amaçlı yazılım yazarının, kötü amaçlı yazılımların gizliliğini iyileştirmek ve hızlı bir şekilde yeni işlevler eklemek için çaba gösterdiği açıktır, bu da gelecekteki sürümlerin muhtemelen daha fazla yetenek katacağını gösterir.
Android'de kötü amaçlı yazılım enfeksiyonları riskini en aza indirmek için kullanıcıların uygulamaları yalnızca Android'in resmi uygulama mağazası, Google Play gibi saygın depolardan indirmeleri ve mesajlardaki URL'lere tıklamaktan kaçınmaları önerilir.
Bir uygulamanın yüklendiğinde talep ettiği izinleri kontrol etmek ve yalnızca uygulamanın temel işlevselliği için gerekli olanlara rıza gösterdiğinizden emin olmak her zaman iyi bir fikirdir. Örneğin, bir şifre yönetimi uygulaması telefonun kamerasına veya mikrofonuna erişim gerektirmemelidir.
Anatsa Android kötü amaçlı yazılım Google Play aracılığıyla 150.000 kez indirildi
Yeni 'Gold Pickaxe' Android, iOS kötü amaçlı yazılım sahtekarlık için yüzünüzü çalıyor
Pixpirate Android kötü amaçlı yazılım, telefonlarda gizlemek için yeni taktik kullanıyor
Bilgisayar korsanları kötüye kullanın Google Cloud Massive Bankacılık Truva Kampanyası
Android Xloader kötü amaçlı yazılım artık kurulumdan sonra otomatik olarak yürütebilir
Kaynak: Bleeping Computer