En el oscuro mundo de la crimen online, los troyanos bancarios representan una amenaza constante para los usuarios de dispositivos móviles.
Uno de los más peligrosos es Vultur y, por desgracia, ha vuelto con nuevas características, técnicas de evasión de análisis y detección. Este troyano se esconde detrás de aplicaciones aparentemente legítimas y tiene como objetivo principal tomar el control completo de celulares para robar datos sensibles.
Cómo opera Vultur y sus nuevas capacidades de ataque
Vultur se propaga a través de aplicaciones troyanizadas en la Play Store de Google, haciéndose pasar por autentificadores y aplicaciones de productividad. Estas aplicaciones engañan a los desprevenidos que las instalan sin conocer las intenciones de estas aplicaciones.
Esto no es todo, Vultur utiliza una técnica llamada "telephone-oriented attack delivery" o TOAD por sus siglas en inglés. Esta técnica emplea tanto el envío de mensajes SMS como de llamadas telefónicas para conseguir que el usuario actualice la aplicación a una versión con un nueva nueva versión del malware.
El funcionamiento de este método consiste, según relata Joshua Kamp de NCC Group consiste en enviar un SMS al usuario que ha descargado la aplicación, el contenido de este mensaje incluye un número al que el usuario debe llamar.
La llamada que realiza el usuario termina con la recepción de un segundo SMS en el que se ofrece un enlace de descarga para una nueva versión de la aplicación. Este enlace lleva al usuario fuera de la Play Store de Google y ofrece una versión modificada de McAfee Security App.
Lógicamente, el usuario poco precavido descargará e instalará esta aplicación sin saber que se trata de una nueva versión del malware. Al haber instalado esta aplicación modificada, lo que ocurrirá es que el usuario habrá dado el control total de su dispositivo a los atacantes.
Esta aplicación empieza una serie de procesos cuyo único cometido es robar información del usuario. Vultur no se queda ahí, el peligro que supone este troyano es máximo debido a que ofrece a los atacantes la posibilidad de acceder al dispositivo de forma remota.
Al ofrecer acceso total al dispositivo de forma remota, los atacantes son capaces de realizar cambios en los ajustes del equipo, descargar e instalar archivos, actualizar aplicaciones y cualquier tipo de acción que deseen realizar.
La peligrosidad es enorme, Vultur incluso evita que los usuarios interactúen con algunas aplicaciones mediante notificaciones personalizadas en la barra de estado y, en algunos casos, incluso puede deshabilitar el bloqueo de pantalla del dispositivo móvil.
Vultur supone un problema y un peligro para todos los usuarios de Android. Ninguna persona está a salvo, aunque es posible tomar ciertas medidas para evitar ser víctima de este malware. La única norma es no descargar aplicaciones fuera de la Play Store, aunque también hay que matizar que solo se deberían instalar aplicaciones fiables.