Actualités

Vultur : aux relents d’Alien, le cheval de Troie bancaire exploite l’accès VNC pour ex-filtrer des données !

En Septembre 2020, les chercheurs de l’équipe ThreatFabric alertaient sur une mutation du Malwaire-as-a-Service (MaaS) Cerberus via Alien. En Décembre 2020, c’était au tour de ProDaft de constater une autre évolution ou variation avec Brunhilda, un Dropper-as-a-Service (DaaS) qui prenait les traits d’applications mobiles Android sportives ou fitness voire d’authentification pour duper la victime afin d’installer, en second temps, Alien. Depuis la fin du mois de Mars 2021, les spécialistes sécuritaires ont mis en lumière de nouveaux RATs (Remote Administration Tool) malveillants : regroupés sous l’appellation Vultur ceux-ci ont, également, un lien étroit avec Brunhilda…

 

 

 

“Après avoir masqué son icône, Vultur démarre son service chargé de gérer la fonctionnalité principale du cheval de Troie, à savoir l’enregistrement d’écran à l’aide de VNC (Virtual Network Computing). VNC est une implémentation logicielle spécifique, mais il n’est pas rare que des acteurs malveillants utilisent le terme « VNC » pour désigner tout ce qui relève du partage d’écran avec accès à distance (cela peut-il être fait à l’aide d’un logiciel tiers comme VNC ou TeamViewer, ou via les fonctionnalités internes d’Android, utilisées par exemple par le malware Oscorp). Dans le cas de Vultur, il s’agit en fait d’une véritable implémentation VNC tirée d’AlphaVNC. Pour fournir un accès à distance au serveur VNC exécuté sur l’appareil, Vultur utilise ngrok. ngrok est capable d’exposer des serveurs locaux derrière des NAT et des pare-feu à l’Internet public via des tunnels sécurisés“, indique le billet détaillé qui a nommé cette nouvelle variante “Vautour“, du fait que le trojan bancaire était opportuniste en guettant la moindre faiblesse-système viable qui pouvait se présenter. Il est souligné qu’ici encore les services d’accessibilité sont exploités pour optimiser le lancement des outils-espion, en corrélant l’ensemble par rapport à une liste – distante – d’applications ou d’objectifs.

 

Identifiants, informations bancaires bien évidemment, token (jeton d’accès), touche-clavier, enregistrement-écran et mot de passe : l’application prend les traits faussement légitimes d’une application censées être de confiance (Protection Guard dont la page semble assez réaliste…). En réalité, il s’agit du dropper Brunhilda qui, une fois téléchargé sur le terminal mobile Android, permettra à Vultur d’ex-filtrer bon nombres de données, comme indiquée dans le paragraphe ci-dessus, par command-and-control. Finesse d’exécution, un bot permet de parachever l’ensemble en envoyant ou actionnant des commandes spécifiques.

 

Des pays européens comme l’Italie, l’Australie ou encore l’Espagne sont essentiellement visés avec, pour finalité, la crypto-extorsion depuis les portes-feuille électroniques ou encore l’ex-filtration de données depuis une application de réseau social. Rien que pour l’échantillon observé par ThreatFabric et relatif au dropper, 5 000 installations ont été effectués depuis la page de l’application mobile frauduleuse… A veiller !

 

 

Source : blog ThreatFabric – Juillet 2021 – Vultur (Vautour) : évolution du trojan bancaire Alien (via Brunhilda – dropper) sous le Google Play Store d’Android.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0