Vultur : le terrible virus revient pour voler vos informations bancaires

Vultur : le terrible virus revient pour voler vos informations bancaires

Vultur, le redoutable cheval de Troie qui siphonne les comptes en banque, est de retour ! Encore plus dangereux que d'habitude, il peut prendre le contrôle entier de votre appareil à distance grâce à ses nouvelles fonctions.

Mauvaise nouvelle, le malware bancaire Vultur fait son grand retour ! Détecté pour la première fois en 2021, ce cheval de Troie est l'un des plus redoutables sur Android. Il s'est particulièrement fait remarquer fin 2022 lorsqu'il avait infiltré de nombreuses applications du Play Store. Une fois qu'il avait contaminé un appareil, il enregistrait alors l'écran et les informations saisies pour récupérer des données bancaires et vider les comptes bancaires de la victime (voir notre article).

Cette fois, il revient avec de nouvelles fonctions qui le rendent encore plus redoutable. D'après l'enquête réalisée par Joshua Kamp, chercheur en cybersécurité de NCCGroup, une nouvelle version du malware a récemment été déployée. Celle-ci intègre des capacités de contrôle à distance plus avancées et des mécanismes d'évasion plus développés, ce qui rend le virus plus difficile à détecter et à bloquer pour les outils de protection habituels, tels que les VPN ou les antivirus. Il infecte les appareils par le biais d'une opération très sophistiquée, à base d'appel téléphonique et de fausse application.

Vultur : un cheval de Troie au mode d'infection sophistiqué

Vultur infecte les smartphones par le biais d'une attaque TOAD (Telephony-Oriented Attack Delivery), qui consiste à piéger les victimes par le biais d'un appel téléphonique. Tout d'abord, la cible reçoit un SMS qui l'informe qu'une transaction impliquant une importante somme d'argent est en cours, et qui lui demande de contacter un numéro si elle n'en est pas à l'origine. Bien évidemment, cette opération n'existe pas, il s'agit simplement d'un prétexte pour créer un sentiment d'urgence et inciter la victime à agir rapidement. Cette dernière va alors entrer en contact avec un cybercriminel se faisant passer pour le service client de McAfee. Celui-ci va alors lui envoyer un SMS contenant un lien d'installation pour l'application factice McAfee Security.

La particularité de cette appli vérolée est qu'elle est ce qu'on appelle un dropper. Elle ne contient pas le malware, elle sert uniquement à installer Vultur – ce qui lui permet de passer sous les radars. Une fois déployé, le virus va alors tout faire pour s'emparer des coordonnées bancaires de la victime ainsi que de ses clés privées, qui offrent l'accès à des portefeuilles contenant des cryptomonnaies.

Lancement de la fausse application McAfee Security © NCCGroup

Vultur : le virus fait le plein de nouvelles fonctions

La dernière version de Vultur intègre plusieurs nouveautés. Tout d'abord, elle embarque de nouveaux mécanismes d'évasion pour éviter d'être détectée. Une fois installé, le malware permet de surveiller l'activité de la victime en temps réel grâce à l'enregistrement d'écran et du clavier, mais aussi de prendre le contrôle de l'appareil à distance. En plus, cette variante est désormais capable "d'interagir à distance avec l'écran de la victime d'une manière plus flexible". Par exemple, le virus peut appuyer sur des contenus à la place de l'utilisateur, faire défiler ou balayer une page, ou encore télécharger, supprimer et chercher des fichiers. Par ailleurs, Vultur peut bloquer l'utilisation d'applications spécifiques et l'affichage de notifications pour empêcher la détection et la suppression du malware. Pour le chercheur en cybersécurité, il est évident que "l'objectif principal est d'obtenir un contrôle total sur les appareils compromis".

Ce contrôle permet au virus d'enregistrer les mots de passe et les identifiants entrés par l'utilisateur et d'intercepter les SMS – ce qui est particulièrement pratique pour contourner la double authentification. Cela lui permet de siphonner l'argent sur le compte en banque de la victime et de vider son portefeuille de cryptomonnaies. Malheureusement, le chercheur s'attend "à ce que plus de fonctions soient ajoutées à Vultur dans un avenir proche". C'est pourquoi nous vous recommandons d'être très prudents. N'accordez surtout pas votre confiance à des SMS provenant d'expéditeurs inconnus, et ne cliquez pas sur les liens douteux !