Os hackers têm uma nova ferramenta em seu arsenal como uma das mais avançadas Trojans bancários Android acaba de ser atualizado com novos recursos que permitem controlar remotamente dispositivos infectados.
Descoberto pela primeira vez pela empresa de segurança ThreatFabric em 2021, Abutre foi um dos primeiros trojans bancários que conseguiu gravar a tela de smartphones Android infectados. Desde então, seus criadores atualizaram esse malware Android para torná-lo ainda mais perigoso.
Conforme relatado por Semana de Segurançanovos recursos técnicos foram adicionados ao Vultur e o malware agora também é ainda melhor para evitar a detecção. Embora tenha sido inicialmente distribuído usando aplicativos maliciosos na Google Play Store, pesquisadores de segurança da Grupo NCC observei recentemente uma nova campanha que usa um novo método de distribuição para enganar usuários desavisados para que instalem esse malware no melhores telefones Android.
Aqui está tudo o que você precisa saber sobre o trojan bancário Vultur, além de algumas dicas e truques sobre como evitar que seu telefone seja sequestrado por hackers.
Infectando vítimas com um ataque híbrido
Em vez de infectar os utilizadores através de aplicações maliciosas, esta nova campanha utiliza um ataque híbrido que começa com uma mensagem de texto e é seguida por uma chamada telefónica e mais uma mensagem de texto.
Em seu relatórioOs pesquisadores de segurança do Grupo NCC explicam que esse ataque híbrido começa com uma mensagem de texto que instrui as vítimas em potencial a ligar para um número caso não tenham autorizado uma grande transação em sua conta bancária. Embora esta transação nunca tenha realmente ocorrido, a mensagem cria uma senso de urgência o que pode ser suficiente para induzir os usuários a ligar para o número.
Se eles ligarem para perguntar sobre a grande transação, uma segunda mensagem de texto será enviada durante a ligação. Ele contém um link para uma versão trojanizada de um aplicativo McAfee Security que eles são coagidos a instalar em seus smartphones. O aplicativo em si parece legítimo à primeira vista, mas na verdade contém o Conta-gotas Brunhilda que é então usado para baixar o trojan bancário Vultur.
O malware é baixado em três cargas separadas que são combinadas no smartphone Android alvo. Uma vez instalado, os hackers por trás desta campanha ganham controle total sobre um dispositivo infectado.
Um Vultur mais perigoso
O trojan bancário Vultur era perigoso o suficiente quando foi observado pela primeira vez, mas agora possui ainda mais recursos que os hackers podem usar em seus ataques.
Por exemplo, o malware pode baixar, fazer upload, excluir, instalar e encontrar arquivos em um smartphone Android infectado, mas também pode impedir a execução de aplicativos. Da mesma forma, ele pode exibir uma notificação personalizada na barra de status e até mesmo desativar o Keyguard, que permite ignorar a tela de bloqueio. No entanto, as novas capacidades de controlo remoto são de longe as mais interessantes.
Embora o Vultur ainda use AlphaVNC e ngrok para funcionalidade de acesso remoto, como fazia em 2021, um hacker agora pode enviar comandos a um smartphone infectado para realizar rolagens, gestos de deslizar, clicar, ativar/desativar o áudio do dispositivo e muito mais.
Assim como acontece com outras variedades de malware Android, o Vultur abusa do sistema operacional Serviços de acessibilidade para obter ainda mais controle sobre um dispositivo infectado. Os cibercriminosos por trás desse trojan bancário também estão aproveitando o Firebase Cloud Messaging do Google (FCM) serviço para enviar mensagens de um comando e controle (C2) servidor que eles controlam para um telefone infectado.
Normalmente, os hackers precisam ter uma conexão contínua com um dispositivo infectado para controlá-lo. Porém, usando o FCM, eles podem enviar um comando mesmo se a conexão com o dispositivo for perdida. AlphaVNC e ngrok ainda exigem uma conexão remota contínua, mas esse novo recurso adiciona mais flexibilidade e facilita as coisas para hackers que implantaram esse malware em seus ataques.
A funcionalidade de gerenciamento de arquivos recém-adicionada também dá aos hackers mais controle sobre smartphones Android infectados, uma vez que eles podem retirar arquivos existentes do dispositivo, bem como fazer upload de novos para usar em ataques adicionais.
Como se manter protegido contra malware do Android
Embora eu normalmente diga para você evitar aplicativos Android com classificações ruins e evitar sideload de aplicativos se você quiser se proteger contra malware, esta campanha é um pouco diferente.
É mais como um ataque de phishing já que começa com uma mensagem urgente de um remetente desconhecido. Em casos como esse, você precisa manter a cabeça fria e evitar deixar que suas emoções dominem você. Em vez de responder à mensagem imediatamente ou mesmo responder, o que você deve fazer primeiro é verificar suas contas bancárias para ver se essa grande transação realmente aconteceu. Isso revelaria que isso não aconteceu e você poderia ignorar a mensagem com segurança.
Ao mesmo tempo, você nunca quer ligue de volta para os hackers ao telefone quando eles fornecerem um número, por mensagem de texto ou e-mail. As verificações automatizadas de segurança de e-mail agora impedem a passagem de muitas de suas mensagens, e é por isso que os hackers começaram a tentar enganar os usuários para que liguem para eles. É muito mais fácil convencer alguém a fazer algo que talvez não queira necessariamente quando você está conversando com essa pessoa ao telefone.
Para se proteger de aplicativos trojanizados como o usado neste ataque, você deve garantir que Google Play Proteger está instalado e ativado em seu smartphone Android. Hoje em dia, porém, a maioria dos telefones Android vem com ele pré-instalado. Para proteção extra, você também deve considerar o uso de um dos melhores aplicativos antivírus para Android pois são atualizados com mais frequência e muitos deles incluem recursos extras de segurança, como um VPN ou um gerenciador de senhas.
À medida que o Google e outras empresas melhoram na defesa contra ataques como este, os hackers continuarão a desenvolver novas maneiras de induzi-lo a instalar malware em seu smartphone. É por isso que você precisa ter cuidado extra ao instalar qualquer novo aplicativo, evitando a todo custo aqueles que você precisa instalar manualmente.
