Tero Vesalainen/Shutterstock.com
Los hackers, desafortunadamente, siempre están ideando nuevas formas inteligentes de robar o acceder a información segura. Algunos malware de Android detectado recientemente , apodado Vultur, está utilizando un nuevo método descarado para recopilar credenciales de inicio de sesión para más de 100 aplicaciones bancarias y criptográficas.
El malware troyano de acceso remoto (RAT), Vultur, obtuvo su nombre de la firma de seguridad ThreatFabric con sede en Ámsterdam. Utiliza una implementación real de uso compartido de pantalla VNC para registrar la pantalla de un dispositivo, el registro de teclas y reflejar todo en el servidor del atacante. Los usuarios, sin saberlo, ingresan sus credenciales en lo que creen que es una aplicación confiable y los atacantes luego recopilan la información, inician sesión en las aplicaciones en un dispositivo separado y retiran el dinero.
Este método de grabación de pantalla es diferente a los troyanos bancarios de Android anteriores, que se basaban en una estrategia de superposición de HTML. Vulture también depende en gran medida del abuso de los servicios de accesibilidad en el sistema operativo del dispositivo para obtener los permisos necesarios que le permitirán acceder a lo que necesita para ejecutar la cosecha de credenciales con éxito.
En informe de ThreatFabric, nos enteramos de que los actores de amenazas pudieron recopilar una lista de las aplicaciones a las que se dirigía Vulture, que se distribuyeron a través de Google Play Store. Italia, España y Australia fueron las regiones que tuvieron el mayor número de instituciones bancarias afectadas por Vultur. También se apuntaron varias billeteras criptográficas.
“Las amenazas bancarias en la plataforma móvil ya no se basan solo en ataques de superposición bien conocidos, sino que están evolucionando hacia un malware similar a RAT, heredando trucos útiles como la detección de aplicaciones en primer plano para iniciar la grabación de la pantalla ”, escribieron los investigadores de ThreatFabric. “Esto lleva la amenaza a otro nivel, ya que tales funciones abren la puerta al fraude en el dispositivo, eludiendo la detección basada en MO de phishing que requieren el fraude realizado desde un nuevo dispositivo. Con Vultur, el fraude puede ocurrir en el dispositivo infectado de la víctima. Estos ataques son escalables y automatizados, ya que las acciones para realizar fraudes pueden programarse en el backend del malware y enviarse en forma de comandos secuenciados ”.
Si el usuario descarga y abre una de las aplicaciones que Vulture está objetivo, el troyano inicia la sesión de grabación de pantalla. Los usuarios que se dan cuenta e intentan eliminar la aplicación maliciosa descubrirán rápidamente que no pueden: un bot dentro del malware hace clic automáticamente en el botón Atrás y envía al usuario de regreso a la pantalla de configuración principal.
La única ventaja que tienen los usuarios es prestar atención al panel de notificaciones, que mostrará que una aplicación llamada”Protection Guard”está proyectando la pantalla. Para obtener un informe más detallado sobre Vultur, recomendamos leer el informe de ThreatFabric . De lo contrario, recuerde descargar solo aplicaciones confiables.
a través de Ars Technica
