Mã độc ngân hàng Vultur giả dạng ứng dụng McAfee Security

quantri
08/07/2025
6 tháng

Các nhà nghiên cứu phát hiện một phiên bản mới của trojan ngân hàng Vultur dành cho Android, với tính năng điều khiển từ xa tiên tiến hơn và cơ chế lẩn trốn được cải tiến.

Vultur lần đầu tiên được ghi nhận vào tháng 3/2021, phát tán trên Google Play thông qua các ứng dụng dropper.

Cuối năm 2023, nền tảng bảo mật di động Zimperium đã đưa Vultur vào danh sách 10 trojan ngân hàng hoạt động mạnh nhất trong năm, lưu ý rằng 9 biến thể của nó nhắm mục tiêu 122 ứng dụng ngân hàng ở 15 quốc gia.

Một báo cáo từ Fox-IT, một phần của NCC Group, cảnh báo rằng một phiên bản mới, tăng cường khả năng lẩn trốn của Vultur đang lây lan thông qua cuộc tấn công phishing SMS và cuộc gọi để lừa cài đặt mã độc, giả dạng ứng dụng McAfee Security.

Chuỗi lây nhiễm mới nhất của Vultur bắt đầu bằng việc nạn nhân nhận được tin nhắn SMS cảnh báo về một giao dịch trái phép và hướng dẫn gọi đến số được cung cấp để được hướng dẫn. Cuộc gọi được trả lời bởi một kẻ lừa đảo, thuyết phục nạn nhân mở link trong SMS thứ hai, dẫn đến một trang web cung cấp ứng dụng McAfee Security đã bị chèn mã độc.

Sau khi cài đặt, ứng dụng sẽ giải mã và thực thi 3 payload liên quan đến Vultur để có quyền truy cập vào Dịch vụ trợ năng, khởi tạo hệ thống điều khiển từ xa và thiết lập kết nối với máy chủ C2.

Vultur phiên bản mới giữ lại một số tính năng chính của các phiên bản cũ hơn, chẳng hạn như ghi màn hình, keylog và truy cập từ xa thông qua AlphaVNC và ngrok, cho phép kẻ tấn công giám sát và kiểm soát theo thời gian thực.

Ngoài ra, mã độc được bổ sung thêm các tính năng mới, bao gồm:

  • Các hành động quản lý tệp: tải xuống, tải lên, xóa, cài đặt và tìm tệp trên thiết bị.
  • Sử dụng Dịch vụ trợ năng để thực hiện các cử chỉ nhấp chuột, cuộn và vuốt.
  • Chặn một số ứng dụng thực thi trên thiết bị, hiển thị HTML tùy chỉnh hoặc thông báo “Tạm thời không khả dụng” cho người dùng.
  • Hiển thị thông báo tùy chỉnh trên thanh trạng thái để đánh lừa nạn nhân.
  • Tắt Keyguard để bỏ qua bảo mật màn hình khóa và có quyền truy cập không hạn chế vào thiết bị.

Ngoài các tính năng này, phiên bản Vultur mới nhất còn bổ sung thêm các cơ chế lẩn trốn mới, chẳng hạn như mã hóa thông tin liên lạc C2, sử dụng nhiều payload mã hóa để giải mã nhanh chóng khi cần và giả mạo các ứng dụng hợp pháp.

Nguồn: Bleeping Computer