Специалисты по кибербезопасности обнаружили новую версию троянского вируса для Android под кодовым названием Vultur, обладающего усовершенствованными возможностями удалённого управления и механизмами обхода защиты.
О первой версии данного вредоносного ПО сообщила компания ThreatFabric ещё в марте 2021 года, а в конце 2022 года вирус начали распространять через приложения-дропперы в Google Play. К концу 2023 года платформа мобильной безопасности Zimperium включила Vultur в десятку самых активных банковских троянов, отмечая, что девять его вариантов атаковали 122 банковских приложения в 15 странах, пишет Securitylab.
Компания Fox-IT, подразделение NCC Group, недавно выпустила подробный отчёт о новой версии Vultur, использующей более хитрые методы распространения через смс-фишинг и звонки.
Заражение начинается с смс о неавторизованной банковской транзакции, с последующим предложением звонка для получения помощи. Мошеннический звонок заканчивается предложением злоумышленников установить мобильный антивирус, чтобы обезопасить денежные средства. Затем киберпреступники высылают жертве ссылку на установку якобы легитимного приложения McAfee Security, которое на самом деле является замаскированным вредоносом Vultur.
Новая версия Vultur сохраняет функции предыдущих версий, такие как запись экрана, кейлоггинг и удалённый доступ, но также добавляет новые возможности, включая управление файлами, использование службы специальных возможностей Android для имитации нажатий и прокрутки, блокировку определённых приложений и отображение ложных уведомлений.
Вредоносное ПО использует сложные механизмы для обхода защиты, включая шифрование связи с сервером управления и использование нативного кода для расшифровки полезной нагрузки, что затрудняет обратный анализ и помогает избежать обнаружения.