Laut dem neuesten Beitrag von SecurityWeek ist die Banking-Malware Vultur von Android mit einem großen Update erneut aufgetaucht, das ihr umfangreiche Möglichkeiten zur Interaktion mit infizierten Geräten und zur Manipulation von Dateien verleiht. Vultur tauchte erstmals im März 2021 auf, als die Malware echte Anwendungen wie AlphaVNC und ngrok infizierte, um aus der Ferne auf VNC-Server zuzugreifen, die sich auf den Geräten der Opfer befanden, und so Bildschirmaufzeichnung und Keylogger für den Diebstahl von Anmeldedaten zu ermöglichen.
Der aktualisierte Android-Trojaner Vultur kann jetzt die volle Kontrolle über infizierte Geräte übernehmen und auf seine Dateien zugreifen
Die aktuelle Ausgabe von Vultur verbessert seine Funktionen weiter und ermöglicht nun die vollständige Kontrolle über kompromittierte Maschinen. Dazu gehören Eingriffe in Anwendungen, das Posten benutzerdefinierter Benachrichtigungen, das Umgehen des Sperrbildschirmschutzes und das Manipulieren von Dateien durch Herunterladen, Hochladen, Installieren, Suchen oder Löschen.
Obwohl der Bericht der NCC Group darauf hinweist, dass diese Malware hauptsächlich auf AlphaVNC und Ngrok für den Fernzugriff setzt, verfügt die neueste Version über verbesserte Anti-Analyse- und Erkennungs-Umgehungsmechanismen. Dazu gehören mehrere Payloads, sich ändernde unschuldige Apps, nativer Code zur Payload-Entschlüsselung und AES-Verschlüsselung für die Command-and-Control-Kommunikation (C&C).
Normalerweise sendet eine SMS-Nachricht einen Ping an das Opfer und fordert es auf, sofort eine bestimmte Nummer anzurufen, um eine nicht autorisierte Transaktion abzuwickeln. Kurz darauf erreicht das Gerät eine weitere SMS mit einer schädlichen URL, die auf ein manipuliertes McAfee Security-Paket verweist, das als Absender der Malware selbst dient.
Unter dem Dropper-Framework namens Brunhilda besteht Vultur aus drei Komponenten namens Payloads, die darauf abzielen, nachfolgende Ausführungsphasen zu erleichtern. Wenn diese Payloads vorhanden sind, kann Vultur Zugriffsrechte für den Accessibility Service erhalten, AlphaVNC und ngrok einrichten und zentrale Backdoor-Funktionen ausführen.
Mit der Fernsteuerung können Angreifer auch Gesten ausführen und Sie aus dem Gerät aussperren
Um die Remote-Interaktion zu unterstützen, enthält Vultur jetzt sieben neue C&C-Methoden, die es Angreifern ermöglichen, verschiedene Aktionen wie Klicks, Scrollen und Wischgesten auszuführen. Wenn es um Firebase Cloud Messaging (FCM) geht, gibt es auch 41 neue Befehle, die diese Privilegien nutzen, und die SMS-Kommunikation ermöglicht Möglichkeiten ohne permanente Verbindungen zwischen Quellen.
Außerdem nimmt die neueste Ausgabe von Vultur dem Benutzer die Möglichkeit, mit bestimmten Anwendungen zu interagieren. Kurz gesagt, das aktualisierte Vultur stellt eine erhebliche Gefahr für Android-Benutzer dar, da es nun die Fernsteuerung infizierter Geräte ermöglicht und Dateien manipuliert. Daher rät NCC Android-Besitzern, vorsichtig zu bleiben.
