Bankový trojan Vultur sa stal ešte nebezpečnejším. Schováva sa za zdanlivo bezpečnú aplikáciu. Takto sa dostáva do smartfónov obetí, upozorňujú experti!
Hackeri aktualizovali bankový trojan Vultur, ktorý je ešte nebezpečnejší, ako kedykoľvek predtým. Hackeri sa ho snažia dostať do telefónu obete cez zdanlivo bezpečnú aplikáciu.
Natrafiť na nebezpečný softvér nie je vôbec náročné. A to obzvlášť, ak sťahujete aplikácie z iných zdrojov, ako je oficiálny obchod s aplikáciami.
Nebezpečný trojan Vultur je späť a je silnejší, ako kedykoľvek predtým
Jedným z nebezpečných softvérov, ktorý vám môže narobiť veľké ekonomické škody, je Vultur. Vývojári tohto malvéru, ktorý je zameraný na Android bankovníctvo, rozšírili jeho schopnosti o nové funkcie, umožňujúce lepšie na diaľku interagovať so zariadením obete, hlásia experti na bezpečnosť z fox-it.com.
S týmto nebezpečným trojanom sme sa mohli stretnúť ešte v marci 2021 a odvtedy ho hackeri viackrát zdokonalili. Vtedy Vultur používal legitímne softvérové produkty AlphaVNC a ngrok na vzdialený prístup k serveru VNC bežiacemu na zariadení obete. Vultur bol distribuovaný prostredníctvom dropper-frameworku s názvom Brunhilda, ktorý pomáha hosťovať škodlivé aplikácie v obchode Google Play.
Pozor, takto prebieha útok Vultur po novom
Po novom sa ale šíri hlavne ako dropper pomocou SMS správ a telefonických hovorov. Útočníci vytvárajú falošný pocit naliehavosti, ktorý má presvedčiť obeť, aby si do zariadenia nainštalovali zdanlivo neškodnú aplikáciu, ktorá má slúžiť na ich ochranu. Prvá SMS správa, ktorú dostane obeť, nabáda používateľa, aby vykonal telefonický rozhovor. Ako zavolá na číslo, ktoré mu prišlo v správe, tak podvodný operátor pošle obeti druhú SMS správu, v ktorej je odkaz na upravenú bezpečnostnú aplikáciu McAfee Security, cez ktorú sa dostanú do zariadenia.
Potom, ako si obeť túto aplikáciu stiahne, a zaeviduje, že komunikuje so vzdialeným serverom, tak sa do zariadenia stiahne škodlivý softvér. V najnovšej verzii Vultur, útočníci pridali viacero nástrojov, ako môžu komunikovať so zariadením cez vzdialený serverov. Celkovo bolo objavených 41 nových príkazov Firebase Cloud Messaging (FCM). Pre tých, ktorí nevedia, tak ide o cloudová služba, ktorá umožňuje vývojárom aplikácií odosielať notifikácie a správy používateľom ich aplikácií na Android, iOS a webových platformách. Okrem iného môžu prostredníctvom tohto nástroja posielať aplikáciám úlohy, ktorý následne vykonávajú na pozadí.
Neprehliadnite
„Väčšina pridaných príkazov súvisí s funkciou vzdialeného prístupu pomocou služieb dostupnosti systému Android, čo umožňuje operátorovi škodlivého softvéru vzdialene komunikovať s obrazovkou obete spôsobom, ktorý je flexibilnejší v porovnaní s používaním AlphaVNC a ngrok.“, vysvetľujú experti na bezpečnosť, ako útočníci vylepšili škodlivý softvér Vultur.
Hackeri na to, aby maskovali svoju aktivitu a sťažili svoje odhalenie v telefóne obete, zvyšujú obťažnosť reverzného inžinieringu a to spôsobom, že ich škodlivý kód rozdeľujú do viacerých na prvý pohľad neškodných častí. Táto stratégia komplikuje analýzu tým, že vyžaduje spojenie viacerých komponentov na odhalenie plnej funkcionality malvéru.
„Vďaka možnosti zadávať príkazy na posúvanie, gestá potiahnutia, kliknutia, ovládanie hlasitosti, blokovanie spustenia aplikácií a dokonca aj začlenenie funkcií správcu súborov je jasné, že primárnym cieľom je získať úplnú kontrolu nad napadnutými zariadeniami.“, opisujú hlavný ciel škodlivé vírusu.
Záverom nám dovoľte prízvukovať, aby ste si nesťahovali aplikácie a hry z neoficiálnych zdrojov a ani z odkazov, ktoré vám niekto pošle v SMS správe či iným spôsobom.
Komentáre