Les chercheurs en sécurité ont découvert une nouvelle version du cheval de Troie bancaire Vultur pour Android qui inclut des capacités de contrôle à distance plus avancées et un mécanisme d’évasion amélioré.

Les chercheurs de la société de détection des fraudes ThreatFabric ont documenté le malware pour la première fois en mars 2021, et fin 2022, ils l’ont observé être distribué sur Google Play via des applications compte-gouttes.

Fin 2023, la plate-forme de sécurité mobile Zimperium a inclus Vultur dans son top 10 des chevaux de Troie bancaires les plus actifs de l’année, notant que neuf de ses variantes ciblaient 122 applications bancaires dans 15 pays.

Un rapport de Fox-IT, qui fait partie du groupe NCC, avertit qu’une nouvelle version plus évasive de Vultur se propage aux victimes par le biais d’une attaque hybride qui repose sur l’hameçonnage par SMS (hameçonnage par SMS) et des appels téléphoniques qui incitent les cibles à installer une version du malware qui se fait passer pour l’application de sécurité McAfee.

La nouvelle chaîne d’infection de Vultur
La dernière chaîne d’infection de Vultur commence par la réception par la victime d’un message SMS l’alertant d’une transaction non autorisée et lui demandant d’appeler un numéro fourni pour obtenir des conseils.

L’appel est répondu par un fraudeur qui persuade la victime d’ouvrir le lien arrivant avec un deuxième SMS, qui dirige vers un site proposant une version modifiée de l’application de sécurité McAfee

À l’intérieur de l’application de sécurité McAfee trojan se trouve le compte-gouttes de logiciels malveillants « Brunhilda ».

Lors de l’installation, l’application déchiffre et exécute trois charges utiles liées à Vultur (deux APK et un fichier DEX) qui obtiennent l’accès aux services d’accessibilité, initialisent les systèmes de contrôle à distance et établissent une connexion avec le serveur de commande et de contrôle (C2).

Chaîne d’infection des vautours

Nouvelles capacités
La dernière version du logiciel malveillant Vultur que les chercheurs ont analysée conserve plusieurs fonctionnalités clés des anciennes itérations, telles que l’enregistrement d’écran, l’enregistrement de frappe et l’accès à distance via AlphaVNC et ngrok, permettant aux attaquants une surveillance et un contrôle en temps réel.

Informations d’IDENTIFICATION de périphérique compromises

Par rapport aux anciennes variantes, le nouveau Vautour a introduit une gamme de nouvelles fonctionnalités, notamment:

  • Actions de gestion de fichiers, y compris le téléchargement, le téléchargement, la suppression, l’installation et la recherche de fichiers sur l’appareil.
  • Utilisation des Services d’accessibilité pour effectuer des clics, des mouvements de défilement et de balayage.
  • Bloquer l’exécution d’applications spécifiques sur l’appareil, afficher du code HTML personnalisé ou un message “Temporairement indisponible  » à l’utilisateur.
  • Affichage de notifications personnalisées dans la barre d’état pour induire la victime en erreur.
  • Désactivez Keyguard pour contourner la sécurité de l’écran de verrouillage et obtenir un accès illimité à l’appareil.
Une partie de la 3ème fonctionnalité de charges utiles

En plus de ces fonctionnalités, la dernière version de Vultur a également ajouté de nouveaux mécanismes d’évasion, tels que le cryptage de ses communications C2 (AES + Base64), l’utilisation de plusieurs charges utiles cryptées qui sont décryptées à la volée en cas de besoin et la dissimulation de ses activités malveillantes sous le couvert d’applications légitimes.

Requête POST chiffrée

De plus, le logiciel malveillant utilise du code natif pour déchiffrer la charge utile, ce qui rend le processus de rétro-ingénierie plus difficile et permet également d’échapper à la détection.

Les chercheurs notent que les développeurs de Vultur semblent s’être concentrés sur l’amélioration de la fonction de contrôle à distance des appareils infectés avec des commandes pour le défilement, les gestes de balayage, les clics, le contrôle du volume et le blocage des applications.

Il est clair que l’auteur du malware a fait un effort pour améliorer la furtivité du malware et pour ajouter de nouvelles fonctions à un rythme rapide, indiquant que les futures versions ajouteront probablement plus de fonctionnalités.

Pour minimiser le risque d’infections par des logiciels malveillants sur Android, il est recommandé aux utilisateurs de télécharger des applications uniquement à partir de référentiels réputés, comme l’app Store officiel d’Android, Google Play, et d’éviter de cliquer sur les URL dans les messages.

C’est toujours une bonne idée de vérifier les autorisations demandées par une application lors de son installation et de vous assurer que vous n’acceptez que celles nécessaires aux fonctionnalités de base de l’application. Par exemple, une application de gestion de mot de passe ne devrait pas nécessiter l’accès à la caméra ou au microphone du téléphone.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *