Manuel Statik Analiz — Vultur Android RAT | Tehdit: KRITIK

Dosya Kimliği

SHA256f4d7e9ec4eda034c2191141b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut2.191.141 byte (2.1MB APK)
String Sayisi15.542

AndroidX Sınıf Adı TLD Obfuskasyonu

Yeni Teknik: Vultur, meşru Android kütüphane sınıf adlarına .su/.me/.li/.com TLD ekleyerek C2 adreslerini gizliyor!
ActionBar.Su    -- "ActionBar" (Android UI class) + .su Sovyet TLD
ActionBar.Me    -- .me TLD varyantı
ActionMode.Su   -- "ActionMode" (Android widget) + .su
AppCompat.Com   -- "AppCompat" (AndroidX) + .com
AppCompat.Li    -- .li (Liechtenstein) TLD
AppCompat.Me    -- .me TLD
-- Statik analiz araçları AndroidX sınıf ismi sanıp geçiyor!
-- Gerçekte .su/.me/.li TLD C2 sunucu adresleri!

VNC Tabanlı Ekran Kaydı

Vultur'un temel özelliği, kurban cihazın ekranını gerçek zamanlı olarak VNC protokolüyle operatöre iletmesidir. Banka uygulaması, kripto cüzdan ve diğer hassas uygulamaların kullanıcı adı/şifre ekranlarını canlı olarak izler.

Vultur Hakkında

Vultur, 2021'de keşfedilen Android banking RAT'tır. AlienBot ve ERMAC ile birlikte çalışabilir. Erişilebilirlik Servisi ve VNC kombinasyonuyla hem keylogging hem ekran kaydı yapar. Google Play'e sahte uygulamalar (PDF tarayıcı, antivirus) olarak yüklenmiştir.

IOC

SHA256f4d7e9ec4eda034c2191141b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ObfuskasActionBar.Su, AppCompat.Su, ActionMode.Su (.su Sovyet TLD)

Vultur — Malware Profile

Vultur Android banking RAT 2021. VNC ekran kaydi. AndroidX sinif adi .su TLD obfukas. AlienBot birlesimi.

Malware Type
RAT
Programming Language
Java
C2 Protocol
HTTP
Target Systems
Küresel Android/Finans

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (6 indicators)

IOC — Vultur
# DOMAIN actionbar.su # DOMAIN actionbar.me # DOMAIN actionmode.su # DOMAIN appcompat.com # DOMAIN appcompat.me # DOMAIN appcompat.su
TypeValueNote
domain actionbar.su
domain actionbar.me
domain actionmode.su
domain appcompat.com
domain appcompat.me
domain appcompat.su
Tags
vulturandroidvnc-ratactionbar-suappcompat-obfuscationsu-tldscreen-recordingbanking-trojan