Банковский Android-троян Vultur получил масштабное обновление
Эксперты кибербезопасности зафиксировали распространение новой версии Android-вредоноса Vultur, который входит в десятку самых активных банковских троянов. В 2023 году вредоносная кампания была направлена на пользователей 122 банковских приложений в 15 странах мира, а в 2022 году вредонос массово распространялся через Google Play.
Vultur нацелен на кражу средств из приложений банков, под которые он маскируются. В списке функциональных возможностей вредоноса: запись экрана, функции кейлогера, удаленное подключение с помощью AlphaVNC и ngrok.
В обновлённой версии Vultur получил улучшенный механизм ухода от детектирования и более продвинутые возможности по части удалённого доступа: обход экрана блокировки и неограниченный доступ к устройству, показ кастомных системных уведомлений, блокировка запуска приложений и продвинутое управление файлами.
Для сокрытия своей вредоносной активности троян шифрует соединение с командным сервером и используется собственный код для расшифровки полезной нагрузки.
В новой вредоносной кампании злоумышленники замаскировали троян под легитимное ПО McAfee Security, а в качестве начального вектора используется смишинг. Сначала жертва получает сообщение о подозрительное транзакции с её счёта, а потом уже злоумышленники пытается убедить её установить приложение.