Descubrir que una aplicación diseñada para proteger nuestros dispositivos y datos personales es en realidad una fachada para actividades maliciosas resulta desconcertante y alarmante. Este es el caso del malware bancario Vultur, una amenaza emergente en el ecosistema de Android que imita sorprendentemente bien a la reconocida aplicación de seguridad McAfee.
Este engaño no solo pone en riesgo la información financiera de los usuarios, sino que también erosiona la confianza en las medidas de seguridad digitales. En este artículo, exploraremos cómo Vultur logra infiltrarse en los dispositivos, el tipo de información que busca robar y, lo más importante, cómo podemos defendernos contra tales tácticas engañosas.
Expertos en seguridad descubrieron una versión actualizada del troyano bancario Vultur para Android, la cual presenta capacidades de control remoto más sofisticadas y estrategias de evasión de detección mejoradas.
El equipo de ThreatFabric, especializado en la identificación de fraudes, fue el primero en reportar este malware en marzo de 2021. Hacia finales de 2022, notaron su distribución en la Google Play Store mediante aplicaciones portadoras del virus.
Para finales de 2023, Zimperium, una autoridad en seguridad móvil, clasificó a Vultur como uno de los diez troyanos bancarios más prevalentes del año. Destacaron que sus nueve variantes atacaban a 122 aplicaciones financieras en 15 países distintos.
Un estudio realizado por Fox-IT, parte de NCC Group, reveló que una versión más sigilosa de Vultur se está diseminando entre las víctimas a través de un método híbrido que combina smishing (phishing por SMS) y llamadas telefónicas engañosas. Estas técnicas convencen a los usuarios de instalar una versión del malware que simula ser la aplicación de seguridad McAfee.
Conoce más sobre: Troyanos Bancarios: Creciente Amenaza en Latinoamérica
El proceso de infección actual de Vultur se inicia cuando el destinatario recibe un SMS que le alerta sobre una transacción sospechosa, instándolo a llamar a un número específico para más detalles.
Al hacer la llamada, un impostor convence a la víctima de abrir un enlace enviado en un segundo mensaje SMS. Este enlace conduce a una página web que promociona una versión alterada de la aplicación de seguridad McAfee.
Dentro de esta versión comprometida de McAfee Security se aloja 'Brunhilda', un componente de malware encargado de desplegar el ataque.
Una vez instalada, la aplicación maliciosa descifra y activa tres componentes dañinos vinculados a Vultur (dos aplicaciones APK y un archivo DEX). Estos consiguen permisos para utilizar los Servicios de Accesibilidad, activan funcionalidades de control remoto y establecen una conexión con el servidor de mando y control (C2).
Te podría interesar leer: Análisis de Malware con Wazuh
Los expertos en seguridad han examinado la versión más reciente del malware Vultur, identificando que conserva funciones esenciales de sus predecesores, como la captura de pantalla, el registro de pulsaciones en el teclado y el acceso remoto mediante AlphaVNC y ngrok. Esto último facilita a los atacantes el monitoreo y control del dispositivo infectado en tiempo real.
Esta versión avanzada de Vultur incorpora varias novedades:
Además, la última iteración de Vultur ha mejorado sus técnicas de evasión mediante la encriptación de comunicaciones C2 (AES + Base64), el uso de múltiples cargas útiles encriptadas que se descifran en tiempo real según sea necesario, y la simulación de ser aplicaciones legítimas para ocultar su actividad maliciosa.
El malware también recurre a código nativo para desencriptar las cargas, complicando su análisis mediante ingeniería inversa y evadiendo la detección.
Los desarrolladores de Vultur han perfeccionado las capacidades de control remoto del malware, introduciendo comandos avanzados para navegar, deslizar, clickear, ajustar el volumen y restringir el lanzamiento de ciertas aplicaciones.
Estas mejoras subrayan el compromiso del autor del malware por aumentar el sigilo y la funcionalidad de Vultur, sugiriendo que futuras versiones podrían incorporar aún más características. Para reducir el riesgo de infecciones por malware en Android, se recomienda a los usuarios instalar aplicaciones únicamente desde fuentes fiables como Google Play y evitar hacer clic en enlaces sospechosos.
Es vital revisar cuidadosamente los permisos solicitados por una aplicación al instalarse, otorgando consentimiento solo a aquellos estrictamente necesarios para su funcionamiento. Por ejemplo, una aplicación de gestión de contraseñas no debería solicitar acceso a la cámara o al micrófono del dispositivo.
Te podrá interesar: Protege tu privacidad: Apps de Android que acceden a tus datos
Mantén tu dispositivo actualizado: Asegúrate de que tu dispositivo esté siempre actualizado con las últimas actualizaciones de seguridad ofrecidas por el fabricante.
Descarga aplicaciones solo de fuentes confiables: Siempre descarga aplicaciones de la Google Play Store o de otras fuentes oficiales y revisa las calificaciones y opiniones antes de descargar.
Sé escéptico con los permisos de las aplicaciones: Analiza cuidadosamente los permisos que una aplicación solicita antes de concederlos. Desconfía de las aplicaciones que solicitan permisos que no parecen necesarios para su funcionamiento.
Instala un antivirus confiable: Un buen programa antivirus puede detectar y eliminar malware como Vultur antes de que cause daño.
Educa a otros: Comparte información sobre las amenazas de seguridad y cómo evitarlas con amigos y familiares.
Realiza copias de seguridad regularmente: Mantén copias de seguridad regulares de tu dispositivo para asegurarte de no perder información importante si necesitas restablecer tu dispositivo a su estado de fábrica.
Podría interesarte leer: Backup as a Service (BaaS): Protección en Entornos Virtuales
El caso de Vultur es un recordatorio crítico de que, en el mundo digital, la vigilancia es clave. Los ciberdelincuentes están constantemente buscando nuevas maneras de explotar las vulnerabilidades de la tecnología y la buena fe de los usuarios. Aunque la tecnología de seguridad está avanzando, la educación y la precaución son nuestras mejores defensas contra amenazas como Vultur. Mantenerse informado sobre las últimas amenazas y practicar buenos hábitos de seguridad en línea puede hacer una gran diferencia en la protección contra el malware bancario y otros tipos de ciberataques.