Un desagradable troyano de Android dirigido a la banca, Las aplicaciones de redes sociales y criptomonedas roban su información a la antigua: registra todo lo que sucede en la pantalla de su teléfono.
El malware, denominado”Vultur”por los investigadores de la empresa de seguridad de la información con sede en Ámsterdam ThreatFabric , se dirige a las aplicaciones de los bancos en Australia, Italia, España, Holanda y Reino Unido; aplicaciones de redes sociales que incluyen Facebook, WhatsApp y TikTok; y aplicaciones de criptomonedas de Binance, Coinbase y otras.
Vultur se instala en teléfonos Android mediante un”cuentagotas”llamado Brunhilda, que está presente en varias aplicaciones de fitness, seguridad telefónica y autenticación, algunas de las cuales han sido que se encuentra en la tienda Google Play. Las aplicaciones infectadas funcionan como espera el usuario, pero entre bastidores, Brunhilda se acerca a los servidores de malware y descarga Vultur (u otro malware).
Una aplicación infectada llamada Protection Guard tenía más de 5,000 instalaciones antes de ser eliminado de Google Play. ThreatFabric estima que Brunhilda puede haber infectado 30.000 teléfonos. Con respecto a Vultur específicamente, el informe de ThreatFabric dice que”estimamos que el número de víctimas potenciales es de miles”.
La mayoría de los troyanos bancarios de Android roban las credenciales de inicio de sesión de los usuarios creando”superposiciones”, pantallas de inicio de sesión falsas que parecen pertenecen a aplicaciones de banca en línea ampliamente utilizadas. Pero Vultur adopta otro enfoque: utiliza tecnología de acceso remoto para simplemente registrar todo lo que hace el propietario de un teléfono infectado cuando se utilizan determinadas aplicaciones. También utiliza un registrador de teclas para capturar las entradas del usuario que no son visibles en la pantalla.
Las grabaciones se transmiten a los servidores administrados por los delincuentes que operan con Vultur, quienes luego pueden reproducir las grabaciones de pantalla de víctimas involuntarias que inician sesión y utilizando Facebook, accediendo a sus cuentas bancarias o realizando operaciones con criptomonedas. Combinado con los datos de keylogging, esto les da a los criminales un recorrido de cada una de las víctimas potenciales que realizan negocios rutinarios.
Vultur hace todo esto abusando de los Servicios de Accesibilidad, una función en Android que está destinada a ayudar a los usuarios con visual o deficiencias auditivas, o usuarios que no puedan ver la pantalla. Por ejemplo, los Servicios de accesibilidad permiten que una aplicación lea en voz alta lo que hay en la pantalla de otra aplicación.
Pero debido a que brinda a las aplicaciones un acceso inusual entre sí, mucho más allá de lo que normalmente permite Android, los servicios de accesibilidad a menudo son abusados por malware que roba información. Vultur incluso usa la función para secuestrar la pantalla si el usuario intenta eliminar la aplicación infectada; inmediatamente presiona el botón Atrás.
Los usuarios pueden detener a Vultur (y muchos otros troyanos bancarios) en seco al negar el permiso de la aplicación infectada para utilizar los Servicios de accesibilidad. Como Vultur a menudo llega en forma de una aplicación que realmente no necesita servicios de accesibilidad, esto no siempre debería ser difícil de detectar.
También puedes detectar Vulture, dice ThreatFabric, porque cuando está transmitiendo datos a su servidor de comando y control, el ícono de”transmisión”activo aparecerá en las notificaciones de Android. Si no está transmitiendo algo y el ícono aparece de todos modos, eso es motivo de preocupación.
Otra forma es instalar y utilizar uno de los mejores antivirus de Android aplicaciones. Brunhilda es una amenaza conocida y la mayoría de las aplicaciones antivirus la detectarán de inmediato; Vultur debería agregarse a la lista pronto si aún no lo está.
Las mejores ofertas de seguridad móvil de bitdefender de hoy
