Vultur: новый супертроян для Android устройств

Специалисты по кибербезопасности обнаружили новую версию троянского вируса для Android под кодовым названием Vultur, обладающего усовершенствованными возможностями удалённого управления и механизмами обхода защиты.

О первой версии данного вредоносного ПО сообщила компания ThreatFabric ещё в марте 2021 года, а в конце 2022 года вирус начали распространять через приложения-дропперы в Google Play. К концу 2023 года платформа мобильной безопасности Zimperium включила Vultur в десятку самых активных банковских троянов, отмечая, что девять его вариантов атаковали 122 банковских приложения в 15 странах.

Компания Fox-IT, подразделение NCC Group, недавно выпустила подробный отчёт о новой версии Vultur, использующей более хитрые методы распространения через смс-фишинг и звонки.

Заражение начинается с смс о неавторизованной банковской транзакции, с последующим предложением звонка для получения помощи. Мошеннический звонок заканчивается предложением злоумышленников установить мобильный антивирус, чтобы обезопасить денежные средства. Затем киберпреступники высылают жертве ссылку на установку якобы легитимного приложения McAfee Security, которое на самом деле является замаскированным вредоносом Vultur.

Новая версия Vultur сохраняет функции предыдущих версий, такие как запись экрана, кейлоггинг и удалённый доступ, но также добавляет новые возможности, включая управление файлами, использование службы специальных возможностей Android для имитации нажатий и прокрутки, блокировку определённых приложений и отображение ложных уведомлений.

Вредоносное ПО использует сложные механизмы для обхода защиты, включая шифрование связи с сервером управления и использование нативного кода для расшифровки полезной нагрузки, что затрудняет обратный анализ и помогает избежать обнаружения.

Для минимизации риска заражения вредоносными программами на Android, рекомендуется скачивать приложения только из проверенных источников, таких как официальный магазин приложений Google Play, и избегать перехода по ссылкам в сообщениях.

Крайне важно также тщательно проверять запрашиваемые приложениями разрешения и предоставлять доступ только к тем функциям, которые необходимы для их корректной работы.