Il trojan bancario Vultur ha una nuova versione che spaventa il mondo: come evitarlo

È allarme in tutto il mondo a causa del rilevamento di una nuova e più aggiornata e insidiosa versione del celebre trojan bancario per Android "Vultur". Individuato per la prima volta tre anni fa, è ritenuto dagli esperti uno dei dieci malware bancari più diffusi del 2023: con le sue nove varianti certificate, è stato in grado di infettare ben 112 app bancarie in 15 Paesi. Da ciò si può comprendere il perché di tanti timori da parte di chi opera nel settore.

Secondo gli esperti di sicurezza di Fox-IT, un settore di NCC Group, la versione aggiornata di Vultur è stata rafforzata con l'aggiunta di nuove funzionalità avanzate di controllo remoto e di elusione di analisi e rilevamento.

"La novità sta nel fatto che Vultur ha iniziato a schermare ancor di più le sue attività nocive, criptando la comunicazione con il server C2 e utilizzando payload multipli crittografati, decifrati in tempo reale, e avvalendosi di presunte applicazioni legittime per eseguire le sue azioni malevole", ha spiegato il ricercatore dell'NCC Group Joshua Kamp.

Il tutto parte con l'invio di un Sms che riguarda una transazione fasulla relativa a un'ingente somma di denaro, sfruttando quindi il cosiddetto "smishing". "Il primo messaggio guida la vittima verso una chiamata telefonica", precisa infatti Kamp. A quel punto il destinatario viene spinto a contattare telefonicamente quello che sembra a tutti gli effetti un servizio di assistenza. Nel momento in cui ciò si verifica, il cybercriminale convince la vittima a installare una versione dell’app McAfee Security tramite un link inserito in un secondo Sms: una versione solo apparentemente legittima, ma in realtà modificata, dato che si tratta del dropper Brunhilda.

Una volta avviato, il dropper malevolo scarica e quindi esegue tre payload di Vultur, ovvero due file APK e un DEX: questi consentono la registrazione col server C2 e, grazie all'ottenimento dei permessi dei servizi di accessibilità di Android con accesso remoto tramite l'installazione di AlphaVNC e ngrok, consentono di eseguire comandi ricevuti dal server C2 stesso.

Tra le nuove funzionalità implementate nel trojan, ecco la possibilità di scaricare, caricare, eliminare, installare e trovare file da remoto, quella di controllare il dispositivo infetto utilizzando i servizi di accessibilità Android (ad esempio l'invio di comandi per eseguire lo scroll, il tap, o disattivare/attivare l'audio), di impedire l'esecuzione delle app, di visualizzare una notifica personalizzata nella barra di stato o di disabilitare Keyguard per aggirare le misure di sicurezza della schermata di blocco. Oltre ciò, Vultur può ora sfruttare nuove modalità di elusione dei tentativi di rilevazione da parte di tool di analisi.

Per proteggersi al meglio dal trojan è sempre consigliabile dotarsi di un valido software antivirus e mantenere alta la guardia anche quando si scaricano app da portali affidabili, oltre che evitare sempre di effettuare download da siti sconosciuti, cliccare su link presenti in Sms o e-mail o consentire l'utilizzo di servizi di accessibilità.

Resta buona norma anche verificare se le informazioni richieste da una app al momento dell'installazione siano o meno compatibili con l'utilizzo che si deve fare della stessa: chiaro che, ad esempio, un programma per generare password casuali non deve mai pretendere l'accesso al microfono o alla videocamera del dispositivo mobile.