Desgraciadamente el malware en el móvil rara vez desaparece para siempre, sino que suele volver todavía más potente. Es el caso de Vultur, un malware bancario que lleva tiempo circulando y que más que un buitre parece ser un ave fénix. Su resurgimiento después de su primera versión de 2021 deja en evidencia una nueva versión mucho más sofisticada con el mismo objetivo: vaciarnos la cuenta.
Vultur es un malware Android especializado en camuflarse en apliciones de apariencia inofensiva para más tarde tomar el control del móvil con la ayuda de los servicios de accesibilidad. Un nuevo análisis de las últimas variantes que están circulando estos días muestra un malware con todavía más herramientas diseñadas para el mal.
Vuelve el buitre
Investigadores de seguridad de Fox It han analizado las últimas versiones del malware Vultur, identificado por primera vez en 2021, encontrando que las nuevas versiones son todavía más avanzadas y acerca distancias con otros malwares similares existentes.
El malware normalmente se distribuye de una forma curiosa: nos llega un SMS avisándonos de que se ha hecho una transferencia de dinero de nuestra cuenta y debemos llamar a un número de teléfono para cancelarla. Al llamar, se nos envía un segundo SMS para descargar una supuesta aplicación de seguridad como el antivirus de McAfee.
Vultur finge ser el antivirus de McAfee. Captura de pantalla de Fox-it
Por supuesto, no se trata del antivirus de McAfee de verdad, sino de una versión camuflada del malware que básicamente tomará el control del dispositivo. Entre sus capacidades se encuentra bloquear que abramos ciertas aplicaciones o sitios web "por nuestra seguridad". Con esta misma excusa, la aplicación nos guía para que le activemos los permisos de accesibilidad, imprescindibles para su funcionamiento.
Es precisamente en estos permisos de accesibilidad donde ha "mejorado" Vultur, pues las versiones anteriores se basaban en control remoto con AlphaVNC y ngrok. Todavía puede hacerlo, pero el nuevo modo preferido de sus desarrolladores para robar tus datos es con el permiso de accesibilidad y la mensajería de Firebase.
El permiso de accesibilidad es un fiel amigo del malware desde hace años
Con este método, Vultur tiene nuevas funciones entre las que se encuentran descargar, subir, borrar y encontrar archivos, controlar el dispositivo remótamente enviando gestos, desplazamientos, clics o controlando el sonido, evitar que carguen aplicaciones, mostrar notificaciones personalizadas en la barra de estado o desactivar la seguridad del móvil para poder desbloquearlo sin el PIN.
Además, este "buitre" emplea nuevas técnicas para evitar su detección como es el caso de distribuirse en tres pasos, emplear cifrado o camuflarse fingiendo ser aplicaciones legítimas como el ya mencionado antivirus de McAfee o el mítico Talkback de Google.
El objetivo de Vultur se mantiene: robar nuestras credenciales de la aplicación del banco para intentar vaciar nuestra cuenta, recopilando de paso cualquier otra contraseña.
La mejor forma de protegernos de este malware es la habitual: nunca instalar aplicaciones con enlaces que nos envían por SMS, independientemente de lo serio y urgente que resulte el asunto. Y, en caso de duda, consultar siempre con la fuente oficial (llamar a nuestro banco).
Más información | Fox-it
En Xataka Android | Todo lo que tu móvil Android hace por ti para que no caigas en estafas o te hackeen
Ver 0 comentarios