Un récent virus voleur de mots de passe

Un nouveau malware ciblant les applications bancaires a vu récemment le jour. L’installation de ce dernier s’effectue via de fausses applications sur le Play Store du géant Google. Nommé Vultur, il se sert d’un serveur VNC dans le but de sauvegarder tout ce qui se déroule à l’écran.

Un malware qui vole les mots de passe

Avec l’expansion du web ainsi que du cloud, les cyberattaques sont de plus en plus poussées. Qui se cache derrière ces offensives et dans quelle finalité ? Quelles sont les options des pirates et quelles sont les attaques les plus courantes ? La société spécialisée dans la cybersécurité ThreatFabric se penche sur ces questions et a récemment déniché un malware bancaire se servant d’une nouvelle méthode internet de vol des mots de passe. La majorité des programmes de ce genre dévoilent une page située au-dessus des applications bancaires, et offrant la possibilité à l’internaute d’indiquer ses identifiants. Ce récent malware, nommé Vultur, se base sur un serveur VNC. Il s’agit d’une technologie lui offrant la possibilité de sauvegarder et d’émettre, sans délais, ce qui se déroule sur l’écran.

L’installation du malware Vultur s’effectue via Brunhildar. Il s’agit d’un malware présent dans des fausses applications sur le célèbre magasin Play Store. Brunhilda est un « dropper ». Cela signifie que son unique fonctionnalité est d’offrir la possibilité à des malwares de s’installer. Vultur doit obtenir des autorisations dans le but de sauvegarder l’écran et faire des actions, et pour cela dupe les internautes en dévoilant une surcouche déjà aperçue avec d’autres malwares.

Environ trente mille d’installations éventuelles

Le malware effectue la surveillance de l’usage des applications et se met en route lorsqu’il déniche une des 103 applications phares sur son listing. Par la suite, il enregistre l’écran du mobile ainsi que la totalité des frappes au clavier afin de dénicher les identifiants bancaires, ainsi que ceux des sites Facebook, Viber et TikTok.

Vultur cible à l’heure actuelle des applications pour des établissements bancaires italiens, espagnols, néerlandais, anglais et australiens. Le malware se trouve sur différentes applications légitimes. Parmi elles, signalons la présence de AlphaVNC pour le serveur VNC, ngrok afin de garantir que le serveur VNC puisse être aisément et rapidement accessible à distance, ou encore Firebase signé Google dans le but de pouvoir récolter une multitude de commandes d’un serveur de contrôle.

Comment détecter et supprimer Vultur ?

La présence de Vultur est réellement facile à dénicher puisque l’icône nommée « Caster » dans le lieu de notification d’Android dévoile que « Protection Guard » effectue une diffusion de l’écran. Néanmoins, le malware est difficile à effacer puisqu’il met en route la fonctionnalité « Retour » lorsque le mobile dévoile l’écran donnant la possibilité d’une désinstallation.

L’installation de la fausse application Protection Guard s’est fait environ cinq mille fois avant que cette dernière soit effacée du magasin Play Store. Or, le groupe ThreatFabric affirme que de fausses applications intégrant Brunhildar, qui peut procéder à l’installation d’une multitude de malwares dont Vultur, ont été installées plus de trente mille fois.