I ricercatori di ThreatFabric hanno individuato un trojan bancario Android con capacità di registrazione dello schermo. Il malware, soprannominato “Vultur”, è stato distribuito tramite un’app dannosa nel Google Play Store. Una volta installata, l’app nasconderà la sua icona.
“Alla fine di marzo 2021, ThreatFabric ha rilevato un nuovo malware RAT che abbiamo soprannominato Vultur per la sua piena visibilità sul dispositivo delle vittime tramite VNC. Per la prima volta vediamo un trojan bancario Android che ha la registrazione dello schermo e il keylogging come strategia principale per raccogliere le credenziali di accesso in modo automatizzato e scalabile. Gli attori hanno scelto di allontanarsi dalla comune strategia di sovrapposizione HTML che di solito vediamo in altri Trojan bancari per Android: questo approccio di solito richiede più tempo e sforzi da parte degli attori per sottrarre informazioni rilevanti all’utente. Invece, hanno scelto di registrare semplicemente ciò che viene mostrato sullo schermo, ottenendo di fatto lo stesso risultato finale.
Sulla base delle informazioni raccolte, ThreatFabric è riuscita a ottenere l’elenco delle app prese di mira da Vultur. Italia, Australia e Spagna sono stati i paesi più presi di mira dagli istituti bancari. Inoltre, vengono presi di mira molti crypto-wallet, il che è in linea con la tendenza osservata nel blog.
Come la grande maggioranza dei trojan bancari, Vultur fa molto affidamento sui servizi di accessibilità. Al primo avvio il malware nasconde l’icona dell’app e subito dopo abusa dei servizi per ottenere tutte le autorizzazioni necessarie per funzionare correttamente. Vale la pena notare che le richieste dell’applicazione per l’accesso al servizio di accessibilità mostrano un overlay WebView preso in prestito da altre famiglie di malware.
Vultur procede all’avvio del suo servizio responsabile della gestione della funzionalità principale del trojan, ovvero la registrazione dello schermo tramite VNC (Virtual Network Computing). VNC è un’implementazione software specifica, ma non è raro che gli attori malintenzionati utilizzare il termine “VNC” per riferirsi a qualsiasi cosa che rientri nell’ambito della condivisione dello schermo con accesso remoto (può essere eseguita utilizzando un software di terze parti come VNC o TeamViewer o tramite funzionalità interne di Android, utilizzate ad esempio dal malware Oscorp) . Nel caso di Vultur si riferisce in realtà a una vera implementazione VNC presa da AlphaVNC. Per fornire l’accesso remoto al server VNC in esecuzione sul dispositivo, Vultur utilizza ngrok. ngrok è in grado di esporre server locali dietro NAT e firewall a Internet pubblico su tunnel sicuri.”
https://www.threatfabric.com/blogs/vultur-v-for-vnc.html
