Vultur, el sofisticado malware bancario para Android, resurge de sus cenizas para acometer nuevos ataques y técnicas de piratería sofisticadas capaces de explotar canales de comunicación como iMessage y RCS. Éstos pasan a ser puntos de entrada para poner en jaque la vulnerabilidad de los dispositivos móviles y que los cibercriminales puedan vaciar la cuenta bancaria de los afectados de manera inminente.
La nueva investigación, desarrolladla por un equipo de Fox-IT (compañía del grupo NNC), ha alertado sobre una nueva versión más virulenta y evasiva de Vultur. Se propaga mediante un ataque híbrido de smishing (SMS y phishing), así como por llamadas telefónicas.
¿Cómo funciona?
La nueva ofensiva virulenta que plantea Vultur arranca cuando una víctima recibe un SMS alertando de una transacción no autorizada e indicándole que llame a un número proporcionado para poder obtener orientación al respecto. Al realizar la llamada, es un cibercriminal el que responde y persuade a la víctima para que abra un enlace que llega a partir de un segundo SMS.
El mensaje de texto dirige a un sitio web que ofrece una versión modificada de la aplicación McAfee Security, aunque lejos de ser un antivirus, es una plantilla tras la cual se oculta el sistema dropper de malware Brunhilda. Éste se encarga de alojar aplicaciones maliciosas en Google Play Store. También opera a través del mítico Talkback de Google.
Entre las capacidades que presenta Vultur destaca el bloqueo para abrir ciertas aplicaciones o sitios web por cuestiones de seguridad. Asimismo, la aplicación guía al usuario para que active permisos de accesibilidad, imprescindibles para su correcto funcionamiento con plena normalidad.
El desconcertado usuario tiende a instalar la aplicación antivirus. A partir de ese momento, el Smartphone está bajo el dominio de los ciberdelincuentes, que son capaces de descifrar y ejecutar tres cargas útiles relacionadas con Vultur. Al controlar los servicios de accesibilidad del dispositivo, tienen pleno dominio sobre las acciones, desplazamientos y gestos de deslizamiento. Solo así, puede inicializar los sistemas de control remoto y establecer una conexión con el servidor de comando y control (C2).
Las novedades de su versión reciente
Vultur implanta un malware capaz de mostrar notificaciones personalizadas para engañar a las víctimas, bloquear aplicaciones específicas para que no se ejecuten en el dispositivo y proceder a acciones de administración de archivos (descarga, carga, eliminación, búsqueda e instalación de archivos).
La nueva versión de Vultur presenta también nuevos mecanismos de evasión. Aquí entran en juego el cifrado de sus comunicaciones C2, la utilización de múltiples cargas útiles cifradas que se descifran al momento y el enmascaramiento de actividades maliciosas como si fuesen aplicaciones legítimas.
Su objetivo es descargar, subir, borrar y encontrar archivos, controlando el dispositivo de manera remota y enviando desplazamientos, clics e incluso controlando el sonido. Además, Vultur es capaz de mostrar notificaciones personalizadas en la barra de estado o desactivar la seguridad del móvil para poder desbloquearlo sin el PIN.
No obstante, el nuevo concepto de Vultur mantiene características comunes de iteraciones anteriores, como: grabación de pantalla, registro de teclas y acceso remoto a través de AlphaVNC y ngrok. Así pues, los atacantes pueden monitorizar y controlar el dispositivo en tiempo real.
Si se analiza el nivel de sofisticación de la nueva versión de Vultur, hace saltar las alarmas, pues se espera que las nuevas versiones futuras, agreguen probablemente más capacidades y funciones a un ritmo más acelerado.
La evolución de Vultur
Vultur, dirigido principalmente a aplicaciones bancarias para el registro de teclas y el control remoto, fue descubierto por primera vez por ThreatFabric a finales de marzo de 2021. Por aquel entonces, empleaba los productos de software legítimos AlphaVNC y ngrok para acceder de manera remota al servidor VNC que se ejecuta en el dispositivo de sus víctimas.
A finales de 2022 se percataron de su distribución en Google Play mediante droppers. Así fue como Vultur fue incluido por la plataforma de seguridad móvil Zimperium a finales de 2023 como uno de los 10 troyanos bancarios más activos del presente. De hecho, se estima que nueve de sus variantes han tenido como objetivo aplicaciones móviles bancarias de hasta 15 países diferentes.
¿Cómo protegerse ante Vultur?
Los expertos recomiendan seguir prácticas de seguridad rigurosas. En este sentido, es fundamental verificar sistemáticamente los permisos otorgados a las aplicaciones, así como tener especial cuidado con los mensajes o llamadas que lo alientan a descargar software. El hecho de implementar soluciones de seguridad como Google Play Protect y utilizar aplicaciones antivirus confiables son medidas de defensa también fundamentales.
Del mismo modo, es importante conocer las últimas tácticas empleadas por los ciberdelincuentes, teniendo en cuenta la instalación de nuevas aplicaciones. Con dichas medidas preventivas, se podrá fortalecer la protección contra las amenazas de Android en evolución constante.
En resumen, el usuario debe mantenerse alerta y nunca instalar aplicaciones con enlaces enviados por SMS, independientemente de su seriedad y urgencia. En caso de duda, consultar siempre con la entidad bancaria.
