Una delle più sofisticate minacce informatiche per utenti Android, il trojan bancario Vultur, ha recentemente ricevuto degli aggiornamenti che aumentano notevolmente le sue capacità di fare danni: il malware, già noto per essere in grado di registrare lo schermo dello smartphone infetto, ora è in grado di controllare da remoto i dispositivi compromessi con maggior efficacia, oltre a eludere meglio i sistemi di sicurezza.
Secondo quanto riportato da SecurityWeek, l'evoluzione di Vultur non si limita allo sviluppo delle sue capacità offensive. Il metodo di distribuzione del malware ha subìto un'importante trasformazione: non più solamente attraverso app malevole presenti sul Google Play Store, ma attraverso una raffinata campagna che sfrutta una combinazione di sms e chiamate per ingannare gli utenti e indurli a installare l'app nociva sui loro dispositivi.
Lo scenario delineato dai ricercatori di sicurezza del NCC Group evidenzia una metodologia di attacco ibrida. Tutto inizia con un messaggio di testo che segnala una grande transazione bancaria non autorizzata, proponendo di chiamare un numero per ottenere chiarimenti. L'inesistenza della transazione menzionata crea un'immediata sensazione di urgenza. Se l'utente richiama il numero fornito, durante la conversazione riceve un secondo sms contenente un link per scaricare una versione malevola di un'app di sicurezza McAfee apparentemente legittima. In realtà, l'app è un veicolo per l'installazione del trojan bancario Vultur tramite il dropper Brunhilda.
Dopo l'installazione, il malware si scarica in tre payload separati che, una volta assemblati sul dispositivo Android, concedono agli attaccanti il controllo totale del telefono. Le nuove funzionalità implementate consentono loro di eseguire un'ampia gamma di operazioni senza bisogno di una connessione continua, tra cui scaricare, caricare, cancellare e installare file, nonché eseguire scorrimenti, gesti di scorrimento, clic e tanto altro ancora.
L'uso di servizi come AlphaVNC e ngrok permette l'accesso remoto al dispositivo, mentre l'integrazione con il servizio Firebase Cloud Messaging (FCM) di Google offre agli hacker la possibilità di inviare comandi al telefono infetto anche in assenza di una connessione diretta. Questo eleva significativamente il livello di minaccia rappresentato da Vultur, rendendolo uno degli attrezzi più pericolosi nel toolkit di un cybercriminale.
Come proteggersi dal malware Vultur
Proteggere i propri dispositivi dalle minacce Android richiede quindi una maggiore attenzione. Anche se l'installazione di app solo da fonti ufficiali e la verifica delle valutazioni possono fornire una certa protezione, i metodi d'attacco come quello utilizzato da Vultur richiedono un approccio più consapevole. Iniziare controllando autonomamente qualsiasi grande transazione segnalata mediante messaggi di testo può aiutare a identificare tentativi di frode. Inoltre, è fondamentale non richiamare mai i numeri forniti in sms o email di sospetta provenienza.
Per una difesa ulteriormente rafforzata, l'attivazione di Google Play Protect offre uno strato di sicurezza aggiuntivo, bloccando o avvisando sugli app conosciute per comportamenti malevoli. L'uso di un'app antivirus all'avanguardia, molti dei quali includono funzionalità aggiuntive come VPN o gestori di password, può fornire un livello di protezione ancora maggiore.