Новые версии Android-трояна Vultur маскируются под McAfee Security

Екатерина Быстрова 01 Апреля 2024 - 09:52

...

Новые версии Android-трояна Vultur маскируются под McAfee Security

Специалисты зафиксировали распространение новой версии банковского трояна для Android — Vultur. Свежие образцы вредоноса отличаются более продвинутыми функциональными возможностями по части удаленного доступа, а также улучшенным механизмом ухода от детектирования.

Об атаках Vultur в 2022 году рассказывали специалисты компании ThreatFabric. Тогда в Google Play нашлись пять загрузчиков банковских Android-троянов.

Напомним, мы анализировали Vultur и его дроппер, пытаясь понять, как атаки банковского трояна устроены изнутри.

Интересно, что по итогам 2023 года компания Zimperium включила Vultur в топ-10 наиболее активных троянов, поскольку деятельность вредоноса затронула 122 приложений в 15 странах.

Теперь исследователи из Fox-IT предупреждают о новой версии трояна для Android. Последняя использует технику гибридной атаки: операторы ловят жертв на крючок через смишинг (СМС-фишинг), сам зловред попадает на устройства под маской защитного приложения McAfee Security.

В СМС-сообщениях целевого пользователя пугают несанкционированной транзакцией и настоятельно советуют позволить по предоставленному номеру для получения рекомендаций. Само собой, на том конце провода сидит злоумышленник, пытающийся склонить потенциальную жертву к установке фейкового McAfee Security.

Приложение содержит сюрприз — дроппер Brunhilda. После установки приложение расшифровывает и выполняет три пейлоада, связанных с Vultur: два APK и DEX-файл. Последние получают доступ к специальным возможностям операционной системы (Accessibility Services), устанавливают инструменты для удаленного доступа и связываются с командным сервером (C2).

Последняя на данный момент версия Vultur сохранила ключевую функциональность предыдущих семплов: запись экрана, функции кейлогера, удаленное подключение с помощью AlphaVNC и ngrok. Вместе с тем трояну добавили множество новых фич:

Управление файлами, включая возможность скачивания, загрузки, удаления, инсталляции и поиска.
Использование Accessibility Services для осуществления кликов, скроллинга и свайпов.
Блокировка запуска определенных приложений на устройстве, демонстрируя пользователю кастомный HTML-шаблон и сообщение «Temporarily Unavailable».
Вывод кастомных уведомлений в строке состояния, чтобы ввести жертву в заблуждение.
Отключение Keyguard для обхода блокировки экрана и получения неограниченного доступа к устройству.

Помимо этого, последние образцы Vultur обновили механизм ухода от детектирования: шифрует связь с командным сервером (AES + Base64), задействует несколько зашифрованных пейлоадов, которые расшифровываются на лету.

Троян использует собственный код для расшифровки полезной нагрузки, что затрудняет обратный инжиниринг тушки зловреда.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Мая 2026 - 15:32

Соответствие законодательству РФ Корпорации Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Маркетплейсы потеряли до 10% трафика после блокировки VPN

Российские маркетплейсы в апреле столкнулись с падением пользовательской активности после новых ограничений на VPN-трафик. Больше всего досталось Wildberries: по оценкам экспертов, мобильный веб-трафик площадки за месяц сократился на 10%, а десктопный — на 6%.

Об этом пишет «Коммерсантъ» со ссылкой на данные Digital Budget. У Ozon и «Яндекс Маркета» мобильный трафик в апреле снизился на 3%, у «Авито» — на 1,5%. На десктопе картина мягче: у Ozon трафик даже вырос на 1%, у «Авито» — на 2%, а у «Яндекс Маркета» — сразу на 26%. Но Wildberries оказался в минусе и там.

Причину участники рынка связывают с требованием Минцифры ограничивать доступ к российским платформам через VPN. В конце марта стало известно, что ИТ-компании, которые не будут блокировать такой трафик, могут лишиться места в профильном реестре министерства. А заодно — вылететь из «белого списка» сайтов, доступных при отключении интернета.

Проблема в том, что многие пользователи держат VPN включённым постоянно, не специально ради маркетплейсов, а просто в фоне для других сервисов. В итоге человек открывает приложение, видит сбои, задержки или недоступность, закрывает его и идёт заниматься жизнью. Корзина подождёт, продавцы — нет.

По оценке Strategy Partners, трафик приложений маркетплейсов в апреле сократился на 2-10% в зависимости от площадки. Продажи могли просесть до 4%, поскольку активное ядро покупателей всё же остаётся. Но для отрасли даже такие проценты — не мелочь.

По оценкам селлеров, падение выручки в апреле составило от 3% до 30% по сравнению с мартом. Они напрямую связывают это с блокировками VPN. Операционный директор «Рейтинга Рунета» Анатолий Денисов оценивает возможные денежные потери площадок примерно в 1%. Если пересчитать на общий объём продаж маркетплейсов в 2025 году — 8,59 трлн рублей, — речь может идти примерно о 7 млрд рублей.

В Ассоциации компаний интернет-торговли считают, что ограничения VPN-трафика усложняют доступ к российским сервисам как для покупателей внутри страны, так и за рубежом. А это уже бьёт не только по удобству, но и по конкурентоспособности площадок.

Отдельно эксперты отмечают, что лучше держатся сервисы внутри крупных экосистем. Например, «Яндекс Маркет» мог частично компенсировать потери за счёт поиска, браузера, рекламной сети и других продуктов «Яндекса». Если пользователь не пришёл через один вход, экосистема может аккуратно провести его через другой.

А вот площадки, которые сильнее зависят от внешнего трафика, рекламы в соцсетях и переходов из мессенджеров, оказываются уязвимее. Для них VPN-блокировки — это не просто техническая мера, а реальный удар по воронке продаж.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!