Novi Vultur Android bankarski trojanac

Vultur je sofisticirani oblik Android zlonamjernog softvera koji privlači pažnju sigurnosnih istraživača zbog svojih naprednih funkcija i tehnika izbjegavanja. Prvi put analiziran od strane kompanije za sajber bezbjednost Fox-IT (dio NCC Group), Vultur je poznat po tome što koristi metod hibridnog napada koji se oslanja na SMS phishing, odnosno smishing i telefonske pozive da bi prevario žrtve da instaliraju zlonamjerne aplikacije.

Novi Vultur Android bankarski trojanac; Source: Bing Image Creator

NOVI VULTUR TROJANAC

Prvo otkriće Vultur zlonamjernog softvera je krajem marta 2021. godine napravila kompanija ThreatFabric. Od tada se ovaj zlonamjerni softver širi kompromitujući preko 3.700 Android uređaja. Vjeruje se da zlonamjernim softverom upravlja indijska sajber grupa po imenu Elvia Infotech.

Vultur je prvenstveno dizajniran za finansijsku dobit ciljanjem bankarskih aplikacija na zaraženim uređajima i krađom osjetljivih korisničkih informacija putem praćenja unosa korisnika (eng. keylogging) ili daljinske kontrole koristeći Android Accessibility Services. Ovo omogućava napadačima da izvrše radnje kao što su prevlačenje, klikovi i pomjeranje na kompromitovanom uređaju. Najnovija verzija ovog zlonamjernog softvera se maskira kao lažna McAfee Security aplikacija, koja uključuje Brunhilda ubacivač zlonamjernog softvera nakon instalacije.

Tehničke karakteristike

Kod Vultur Android zlonamjernog softvera su veoma zanimljive njegove tehničke karakteristike, koje mu omogućavaju da izbjegne otkrivanje i analizu uz maksimalnu kontrolu nad kompromitovanim uređajima.

Vultur zlonamjerni softver koristi imena legitimnih aplikacija kao što su McAfee Security ili Android Accessibility Services u svojim zlonamjernim paketima da bi izbjegao otkrivanje. Ova tehnika je poznata kao “otmica pakovanja” i može biti izazovna za identifikaciju kod antivirusnog softvera. Pored toga, Vultur zlonamjerni softver se ne oslanja na interpretirani kôd, već on koristi tehnike izvršavanja izvornog kôda za dešifrovanje korisnog tereta (eng. payload) direktno unutar memorije uređaja. Ovo otežava bezbjednosnim rješenjima da otkriju i analiziraju zlonamjerni softver.

Da bi dodatno zakomplikovao analizu, Vultur zlonamjerni softver širi svoj zlonamjerni kôd na više korisnih tovara. Svaki korisni tovar sadrži mali dio ukupnog napada, što otežava sigurnosnim istraživačima da razumiju pun obim prijetnje. Tu je i upotreba napredne tehnike šifrovanja kao što su AES – Advanced Encryption Standard i Base64 kôdiranje za C2 komunikaciju. Ovo otežava bezbjednosnim rješenjima da presretnu ili dešifruju podatke koji se prenose između zlonamjernog softvera i njegovih servera za komandu i kontrolu.

Najinteresantniji aspekt Vultur zlonamjernog softvera je to što može da koristi Android usluge pristupačnosti za daljinsko povezivanje sa ugroženim uređajima, omogućavajući napadačima da prenesu komande za pomjeranje, pokrete prevlačenja, klikove, isključivanje/uključivanje zvuka i još mnogo toga, što značajno poboljšava mogućnosti nadzora zlonamjernog softvera.

Ovaj zlonamjerni softver može da spriječi pokretanje određenih aplikacija na zaraženim uređajima, što otežava bezbjednosnim rješenjima da otkriju ili uklone zlonamjerni softver, a može i da prikaže prilagođeno obavještenje u statusnoj traci kako bi dodatno prikrio svoje prisustvo. Da bi zaobišao bezbjednosne mjere zaključanog ekrana, Vultur zlonamjerni softver onemogućava funkciju Keyguard kada izvršava određene komande na zaraženim uređajima. Ovo olakšava napadačima da dobiju neovlašteni pristup i kontrolu nad kompromitovanim uređajima. Sa mogućnošću izdavanja komandi za pomjeranje, pokrete prevlačenja, klikove, kontrolu jačine zvuka, blokiranje pokretanja aplikacija, pa čak i ugradnju funkcije menadžera datoteka. Primarni cilj Vultur zlonamjernog softvera je jasan – da stekne potpunu kontrolu nad kompromitovanim uređajima.

Distribucija

Trenutna kampanja Vultur zlonamjernog softvera cilja Indiju, ali uključuje i zemlje kao što su Francuska, Holandija, Kanada i Japan. Žrtve nisu ograničene ni na jednu specifičnu demografsku ili starosnu grupu i svako ko preuzme kompromitovanu aplikaciju rizikuje da se zarazi ovim zlonamjernim softverom.

Zlonamjerni softver se distribuira preko zlonamjernih APK paketa koji se predstavljaju kao aplikacije za internet rezervacije, naplate i kurirske usluge. Ove aplikacije su dio ponude zlonamjerni softver kao usluga (eng. Malware-as-a-Service – MaaS), koja omogućava zlonamjernim akterima da kupe pristup zlonamjernom softveru za sopstvenu upotrebu. Prema dostupnim podacima, zlonamjerni softver je ugrađen u preko 800 aplikacija, što je dovelo do više od 3.700 kompromitovanih Android uređaja.

Napadači obično kontaktiraju žrtve putem telefona, tekstualne poruke, elektronske pošte ili društvenih aplikacija kako bi ih obavijestili da moraju da promjene raspored usluga. Kada žrtva preuzme i instalira jednu od ovih zaraženih aplikacija, Vultur dobija neovlašteni pristup uređaju.

ZAKLJUČAK

Kampanja Vultur zlonamjernog softvera za Android je sofisticirana operacija koja cilja Android korisnike sa zlonamjernim aplikacijama prerušenim u legitimne usluge. Ove aplikacije su dio ponude zlonamjerni softver kao usluga i mogu dovesti do krađe bankarskih informacija, SMS poruka i drugih povjerljivih podataka sa uređaja žrtava. Najnovija verzija ovog zlonamjernog softvera uključuje funkcije koje omogućavaju daljinsku komunikaciju između napadača i zaraženog uređaja, što ga čini još opasnijim za korisnike koji ništa ne sumnjaju. Zbog toga je za Android korisnike ključno da budu oprezni kada preuzimaju aplikacije i budu oprezni kada ih instaliraju na svoje uređaje.

Trenutna kampanja koja cilja Android korisnike u Indiji podsjeća na to koliko je važno biti oprezan kada se koriste mobilni uređaji. Zlonamjerni akteri stalno razvijaju svoje taktike i od suštinske je važnosti biti informisan o najnovijim pratnjama i da preduzimati odgovarajuće mjere zaštitite za sebe i svoje podatke.

ZAŠTITA

Evo preporučenih  mjera zaštite od Vultur zlonamjernog softvera:

• Izbjegavati pozivanje brojeva koji su navedeni u neželjenim porukama ili elektronskoj pošti,
• Potrebno je biti oprezna sa dolaznim SMS porukama i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja, posebno onima koje se odnose na finansijske transakcije,
• Korisnici Android operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvaničnih izvora i prodavnica aplikacija trećih strana i da se drže pouzdanih platformi kao što je Google Play prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
• Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije,
• Korisnici trebaju prilikom preuzimanja aplikacije iz Google Play prodavnice obratiti pažnju na na recenzije korisnika (možda nisu dostupne u nezvaničnim prodavnicama). Ključno je biti svjestan da pozitivne kritike mogu biti lažne kako bi se povećao kredibilitet zlonamjernih aplikacija. Korisnici bi trebalo da se usredsrede na negativne kritike i pažljivo procjene zabrinutosti korisnika, jer mogu otkriti važne informacije o zlonamjernoj aplikaciji,
• Redovno ažurirati Android uređaj i aplikacije na najnovije verzije,
• Korisnici treba da provjere da li je omogućena opcija Google Play Protect i da je uključe ako je isključena,
• Razmisliti o korištenju pouzdanih Android antivirusnih aplikacija za dodatnu zaštitu, jer se ažuriraju češće i mogu uključivati dodatne bezbjednosne funkcije.