Новые версии Android-трояна Vultur маскируются под McAfee Security

Новые версии Android-трояна Vultur маскируются под McAfee Security

Новые версии Android-трояна Vultur маскируются под McAfee Security

Специалисты зафиксировали распространение новой версии банковского трояна для Android — Vultur. Свежие образцы вредоноса отличаются более продвинутыми функциональными возможностями по части удаленного доступа, а также улучшенным механизмом ухода от детектирования.

Об атаках Vultur в 2022 году рассказывали специалисты компании ThreatFabric. Тогда в Google Play нашлись пять загрузчиков банковских Android-троянов.

Напомним, мы анализировали Vultur и его дроппер, пытаясь понять, как атаки банковского трояна устроены изнутри.

Интересно, что по итогам 2023 года компания Zimperium включила Vultur в топ-10 наиболее активных троянов, поскольку деятельность вредоноса затронула 122 приложений в 15 странах.

Теперь исследователи из Fox-IT предупреждают о новой версии трояна для Android. Последняя использует технику гибридной атаки: операторы ловят жертв на крючок через смишинг (СМС-фишинг), сам зловред попадает на устройства под маской защитного приложения McAfee Security.

В СМС-сообщениях целевого пользователя пугают несанкционированной транзакцией и настоятельно советуют позволить по предоставленному номеру для получения рекомендаций. Само собой, на том конце провода сидит злоумышленник, пытающийся склонить потенциальную жертву к установке фейкового McAfee Security.

Приложение содержит сюрприз — дроппер Brunhilda. После установки приложение расшифровывает и выполняет три пейлоада, связанных с Vultur: два APK и DEX-файл. Последние получают доступ к специальным возможностям операционной системы (Accessibility Services), устанавливают инструменты для удаленного доступа и связываются с командным сервером (C2).

 

Последняя на данный момент версия Vultur сохранила ключевую функциональность предыдущих семплов: запись экрана, функции кейлогера, удаленное подключение с помощью AlphaVNC и ngrok. Вместе с тем трояну добавили множество новых фич:

  • Управление файлами, включая возможность скачивания, загрузки, удаления, инсталляции и поиска.
  • Использование Accessibility Services для осуществления кликов, скроллинга и свайпов.
  • Блокировка запуска определенных приложений на устройстве, демонстрируя пользователю кастомный HTML-шаблон и сообщение «Temporarily Unavailable».
  • Вывод кастомных уведомлений в строке состояния, чтобы ввести жертву в заблуждение.
  • Отключение Keyguard для обхода блокировки экрана и получения неограниченного доступа к устройству.

 

Помимо этого, последние образцы Vultur обновили механизм ухода от детектирования: шифрует связь с командным сервером (AES + Base64), задействует несколько зашифрованных пейлоадов, которые расшифровываются на лету.

Троян использует собственный код для расшифровки полезной нагрузки, что затрудняет обратный инжиниринг тушки зловреда.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Битрикс24 обновил мессенджер: шифрование, биометрия и автоудаление

На фоне роста фишинговых атак и утечек данных Битрикс24 представил обновление корпоративного мессенджера с рядом функций, направленных на повышение конфиденциальности переписки и видеозвонков. В числе ключевых изменений — сквозное шифрование, биометрическая авторизация, обязательная двухфакторная аутентификация, защита от скриншотов и возможность автоудаления сообщений.

В последние годы всё больше компаний сталкиваются с кибератаками. По данным опроса Битрикс24, 34% представителей бизнеса уже становились жертвами мошенников.

При этом более половины — 56% — до сих пор обмениваются коммерческой информацией через обычные публичные мессенджеры. Это часто приводит к утечкам и потере конфиденциальных данных.

Один из самых распространённых сценариев — фишинг через мессенджеры. Цель — получить доступ к внутренним системам компании и нарушить работу инфраструктуры. Один из способов снизить риски — использовать внутрикорпоративный мессенджер, где коммуникации защищены.

В Битрикс24 вышло обновление мессенджера, в которое вошли новые функции, направленные на усиление защиты:

  • Сквозное шифрование и SSL-сертификаты с использованием RSA — для защиты переписки и видеозвонков.
  • Биометрическая авторизация в мобильном приложении.
  • Обязательная двухфакторная аутентификация при входе в веб- и десктоп-версию через смартфон.
  • Функция автоудаления сообщений — её можно включить в личных, групповых и проектных чатах с настраиваемыми сроками (от часа до месяца).
  • Защита от скриншотов в мобильной версии мессенджера.

Также обновления коснулись видеозвонков: была внедрена технология QuantumConnect, которая обеспечивает стабильную связь и защищённую авторизацию через Web Token.

Эксперты считают, что такие меры могут помочь компаниям сократить риски утечек и лучше защититься от фишинговых атак, особенно на фоне продолжающегося роста угроз в цифровой среде.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru