Saskaņā ar SecurityWeek jaunāko ziņu, Android banku ļaunprogrammatūra AKA Vultur ir atkal parādījusies ar lielu atjauninājumu, kas nodrošina tai plašu iespēju mijiedarboties ar inficētām ierīcēm un manipulēt ar failiem. Sākotnēji Vultur parādījās 2021. gada martā, kad ļaunprogrammatūra inficēja oriģinālās lietojumprogrammas, piemēram, AlphaVNC un ngrok, lai attālināti piekļūtu VNC serveriem, kas atrodas cietušajās ierīcēs, tādējādi ļaujot ekrāna ierakstītāju un taustiņu reģistratoru akreditācijas datu zādzībai.
Jauninātais Android Trojas zirgs Vultur tagad var pilnībā kontrolēt inficētās ierīces un piekļūt tā failiem
Jaunākais Vultur izdevums vēl vairāk uzlabo tā funkcijas un tagad ļauj pilnībā kontrolēt apdraudētās iekārtas. Tie ietver traucējumus lietojumprogrammās, pielāgotu paziņojumu publicēšanu, bloķēšanas ekrāna aizsardzības apiešanu un failu manipulācijas, lejupielādējot, augšupielādējot, instalējot, meklējot vai dzēšot.
Lai gan NCC Group ziņojumā norādīts, ka šī ļaunprogrammatūra attālinātai piekļuvei galvenokārt balstās uz AlphaVNC un ngrok, tās jaunākajā versijā ir uzlaboti pretanalīzes un atklāšanas mehānismi. Tie ietver vairākas lietderīgās slodzes, nevainīgu lietotņu maiņu, vietējo kodu kravas atšifrēšanai un AES šifrēšanu komandu un kontroles (C&C) saziņai.
Parasti ar SMS īsziņu upuris piezvana, pieprasot nekavējoties zvanīt uz noteiktu numuru, lai tiktu galā ar neautorizētu darījumu. Drīz pēc tam ierīci sasniedz cita īsziņa, kurā ir ļaunprātīgs URL, kas norāda uz bojātu McAfee Security pakotni, kas kalpo kā ļaunprogrammatūras izvadītājs.
Saskaņā ar pilinātāju sistēmu Brunhilda, Vultur sastāv no trim komponentiem, ko sauc par lietderīgajām slodzēm, kuru mērķis ir atvieglot turpmākos izpildes posmus. Izmantojot šīs lietderīgās slodzes, Vultur var iegūt pieejamības pakalpojuma privilēģijas, iestatīt AlphaVNC un ngrok un veikt pamata durvju funkcionalitāti.
Izmantojot tālvadības pulti, uzbrucēji var arī veikt žestus un bloķēt jūs no ierīces
Lai atbalstītu attālo mijiedarbību, Vultur tagad ietver septiņas jaunas C&C metodes, kas ļauj uzbrucējiem veikt dažādas darbības, piemēram, klikšķus, ritināšanu un vilkšanas žestus. Runājot par Firebase mākoņa ziņojumapmaiņu (FCM), ir arī 41 jauna komanda, kas izmanto šīs privilēģijas, un SMS saziņa nodrošina iespējas bez pastāvīgiem savienojumiem starp avotiem.
Turklāt jaunākais Vultur izdevums atņem lietotājam iespēju mijiedarboties ar noteiktām lietojumprogrammām. Īsāk sakot, atjauninātais Vultur rada ievērojamas briesmas Android lietotājiem, jo tagad tajā ir tālvadības pults pār inficētām ierīcēm un tiek manipulētas ar failiem. Tāpēc NCC iesaka Android īpašniekiem būt piesardzīgiem.
