Fecha de publicación: Jue, 29/07/2021 - 16:59

 

El malware Vultur, apodado así por el uso de la tecnología de uso compartido de pantalla remota de Virtual Network Computing (VNC), es un malware que se distribuyo a través de la tienda oficial de Google Play y se hizo pasar por una aplicación llamada “Protection Guard”, siendo víctimas más de 5000 dispositivos. Las aplicaciones bancarias y de criptomonedas de entidades ubicadas en Italia, Australia y España fueron los principales objetivos.


Como la gran mayoría de los troyanos bancarios, Vultur depende en gran medida de los servicios de accesibilidad. Cuando se inicia por primera vez, el malware oculta todos los permisos necesarios para funcionar correctamente. Vale la pena señalar que la aplicación solicita acceso al Servicio de Accesibilidad mostrando una superposición de WebView tomada de otras familias de malware.


Siempre que un evento nuevo activa el servicio Evento de accesibilidad, el bot comprueba si proviene de una aplicación que forma parte de la lista de objetivos de keylogging. Si es así, utiliza los Servicios de accesibilidad para registrar lo que escribe el usuario.


La mayor amenaza que ofrece Vultur es su capacidad de grabación de pantalla. El troyano utiliza los servicios de accesibilidad para comprender qué aplicación está en primer plano. Si la aplicación es parte de la lista de objetivos, iniciará una sesión de grabación de pantalla.

Vultur afecta mayormente a dispositivos Android que fueron infectados previamente con el malware Brunhilda.

Las siguientes aplicaciones corren riesgo de ser víctimas de espionaje con Vultur:

Objetivos de grabación de pantalla:

  • CommBank
  • Banca móvil NAB
  • Banca móvil de Westpac
  • Banca móvil Macquarie
  • Bendigo Bank
  • ING Australia Banca
  • ANZ Australia
  • Aplicación ABN AMRO Wallet
  • ING Bankieren
  • ING Italia
  • PosteID
  • Postepay
  • BOQ Móvil
  • Mi AMP
  • Bankwest
  • ME Bank
  • Aplicación Bank Australia
  • Banaca móvil del Bank of Melbourne
  • Banca móvil de San Jorge
  • Banca Móvil CUA
  • HSBC Australia
  • Tarjeta de crédito Virgin Money
  • Banca Móvil BankSA
  • isi-mobile Cassa di Risparmio
  • Negocio Intesa Sanpaolo
  • Banca privada Mediobanca
  • Ria Money Transfer – Envie dinero en línea desde cualquier lugar
  • Mi banca privada
  • myCartaBCC
  • D-Mobile
  • Mi@
  • Relax Banking Móvil
  • Banca Sella
  • Crédit Agricole Italia
  • Intesa Sanpaolo Móvil
  • BancoPosta

Objetivos de keylogging

  • Mensaje de Whatassap
  • Viber Messenger: mensajes, chats grupales y llamadas
  • TikTok – Haz tu día
  • Facebook
  • Messenger: chat de texto y video gratis
  • Facebook Lite


¿Cómo detectar la actividad de vultur?

Los usuarios pueden detectar a Vultur en funcionamiento porque cada vez que transmite la pantalla de la víctima, el indicador “Protection Guard” se enciende en el panel de notificaciones de Android.


Además del registro de teclas, los servicios se utilizan para evitar que el usuario elimine la aplicación del dispositivo mediante los procedimientos tradicionales,  como acceder a la configuración y desinstalar manualmente la aplicación. Cada vez que el usuario llega a la pantalla de detalles de la aplicación, el bot automáticamente hace clic en el botón Atrás, enviando al usuario a la pantalla de configuración principal, sin permitir el acceso al botón de desinstalación.

Verifique en el Panel de Configuraciones si existe una aplicación llamada “Protection Guard” para verificar si Vultur se ha infiltrado en su dispositivo.


¿Cómo eliminar el malware?

La aplicación “Protection Guard” evade la desintalación manual, se recomienda utilizar antivirus o software de terceros para su eliminación del dispositivo.

 

Fuente
https://thehackernews.com/2021/07/new-android-malware-uses-vnc-to-spy-and.html