La nouvelle version du cheval de Troie bancaire Vultur vous fait installer une fausse application McAfee Security

Attention danger pour les utilisateurs Android! La nouvelle version du « vautour » est dotée de fonctionnalités de contrôle à distance plus sophistiquées et d'un mécanisme d'évasion amélioré.

Détecté pour la première fois en 2021, et massivement installé via des applications infectées du Play Store fin 2022, Vultur s'est rapidement imposé comme l'un des chevaux de Troie bancaires les plus redoutables sur Android. Fin 2023, une nouvelle variante encore plus redoutable a été découverte, s'infiltrant via une attaque hybride associant smishing (phishing par SMS) et appels téléphoniques.

Et comme si cela ne suffisait pas, cette version 2.0 de Vultur intègre des capacités de contrôle à distance plus avancées et des mécanismes d'évasion plus robustes, ce qui la rend plus difficile à détecter et à bloquer par les outils de protection habituels, tels que les VPN ou les antivirus.

Une nouvelle chaîne d'infection hybride: SMS et appel téléphonique

Afin d’inciter des utilisateurs peu méfiants à installer des logiciels malveillants, les hackers recourent à une attaque hybride utilisant deux messages SMS et un appel téléphonique.

Tout d'abord, la victime reçoit un message SMS lui demandant d'appeler un numéro si elle n'a pas autorisé une transaction impliquant une somme d'argent importante. En réalité, cette transaction n’a jamais eu lieu, mais elle crée un faux sentiment d’urgence pour inciter la victime à agir rapidement.

Un deuxième SMS est envoyé pendant l'appel téléphonique, où la victime est invitée à installer une version « trojanisée » de l'application McAfee Security à partir d'un lien. Cette application contient en fait le « compte-gouttes de malware » baptisé innocemment « Brunhilda », qui semble inoffensive pour la victime car elle contient des fonctionnalités que connues de l'application McAfee Security d'origine. Ce « compte-gouttes » décrypte et exécute un total de 3 charges utiles liées à Vultur, donnant aux pirates un contrôle total sur l'appareil mobile de la victime.

Des fonctionnalités avancées pour prendre le contrôle total de l'appareil

Ainsi déployé tel un sombre oiseau, Vultur 2.0 permet aux hackers de contrôler totalement l'appareil infecté. Grâce à de nouveaux mécanismes d'évasion, comme le cryptage des communications C2 (AES + Base64), l'utilisation de charges utiles cryptées décryptées dynamiquement, et le camouflage sous des applications légitimes, avec un usage de code natif pour compliquer l'ingénierie inverse et éviter la détection, ce cheval de Troie fait sauter tous les verrous des appareils Android trojanisés.

Les escrocs peuvent par exemple surveiller l'activité de la victime en temps réel grâce à l'enregistrement d'écran et du clavier, prendre le contrôle de l'appareil à distance via des outils comme AlphaVNC et ngrok, qui permettent d'effectuer des transferts d'argent, des achats frauduleux ou encore l'installation de malwares supplémentaires.

Mais ce contrôle ne s'arrête pas là. Les pirates peuvent également bloquer certaines application, désactiver la sécurité et le verrouillage de l'écran ou l'affichage de notifications personnalisées. Mais ils peuvent en plus accéder à la gestion entière des fichiers, y compris le téléchargement, le chargement, la suppression, l'installation et la recherche.

Enfin, en dehors de l'exécution de clics, de gestes de balayage ou de défilement, ils ont la possibilité de bloquer l'utilisation d'applications spécifiques pour empêcher la détection et la suppression du malware Brunhilda.

Source: Bleeping Computer, Fox It