Банковский Android-троян Vultur получил масштабное обновление

Один из самых активных банковских троянов стал более скрытным и вредоносным.

Эксперты кибербезопасности зафиксировали распространение новой версии Android-вредоноса Vultur, который входит в десятку самых активных банковских троянов. В 2023 году вредоносная кампания была направлена на пользователей 122 банковских приложений в 15 странах мира, а в 2022 году вредонос массово распространялся через Google Play.

Vultur нацелен на кражу средств из приложений банков, под которые он маскируются. В списке функциональных возможностей вредоноса: запись экрана, функции кейлогера, удаленное подключение с помощью AlphaVNC и ngrok.

В обновлённой версии Vultur получил улучшенный механизм ухода от детектирования и более продвинутые возможности по части удалённого доступа: обход экрана блокировки и неограниченный доступ к устройству, показ кастомных системных уведомлений, блокировка запуска приложений и продвинутое управление файлами.

Для сокрытия своей вредоносной активности троян шифрует соединение с командным сервером и используется собственный код для расшифровки полезной нагрузки.

В новой вредоносной кампании злоумышленники замаскировали троян под легитимное ПО McAfee Security, а в качестве начального вектора используется смишинг. Сначала жертва получает сообщение о подозрительное транзакции с её счёта, а потом уже злоумышленники пытается убедить её установить приложение.