Manuel Statik Analiz — Vultur Android RAT | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | f4d7e9ec4eda034c2191141b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 2.191.141 byte (2.1MB APK) |
| String Sayisi | 15.542 |
AndroidX Sınıf Adı TLD Obfuskasyonu
Yeni Teknik: Vultur, meşru Android kütüphane sınıf adlarına .su/.me/.li/.com TLD ekleyerek C2 adreslerini gizliyor!
ActionBar.Su -- "ActionBar" (Android UI class) + .su Sovyet TLD ActionBar.Me -- .me TLD varyantı ActionMode.Su -- "ActionMode" (Android widget) + .su AppCompat.Com -- "AppCompat" (AndroidX) + .com AppCompat.Li -- .li (Liechtenstein) TLD AppCompat.Me -- .me TLD -- Statik analiz araçları AndroidX sınıf ismi sanıp geçiyor! -- Gerçekte .su/.me/.li TLD C2 sunucu adresleri!
VNC Tabanlı Ekran Kaydı
Vultur'un temel özelliği, kurban cihazın ekranını gerçek zamanlı olarak VNC protokolüyle operatöre iletmesidir. Banka uygulaması, kripto cüzdan ve diğer hassas uygulamaların kullanıcı adı/şifre ekranlarını canlı olarak izler.
Vultur Hakkında
Vultur, 2021'de keşfedilen Android banking RAT'tır. AlienBot ve ERMAC ile birlikte çalışabilir. Erişilebilirlik Servisi ve VNC kombinasyonuyla hem keylogging hem ekran kaydı yapar. Google Play'e sahte uygulamalar (PDF tarayıcı, antivirus) olarak yüklenmiştir.
IOC
| SHA256 | f4d7e9ec4eda034c2191141b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Obfuskas | ActionBar.Su, AppCompat.Su, ActionMode.Su (.su Sovyet TLD) |
Vultur — Malware Profile
Vultur Android banking RAT 2021. VNC ekran kaydi. AndroidX sinif adi .su TLD obfukas. AlienBot birlesimi.
Malware Type
RAT
Programming Language
Java
C2 Protocol
HTTP
Target Systems
Küresel Android/Finans
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (6 indicators)
IOC — Vultur
# DOMAIN
actionbar.su
# DOMAIN
actionbar.me
# DOMAIN
actionmode.su
# DOMAIN
appcompat.com
# DOMAIN
appcompat.me
# DOMAIN
appcompat.su
| Type | Value | Note |
|---|---|---|
| domain | actionbar.su | |
| domain | actionbar.me | |
| domain | actionmode.su | |
| domain | appcompat.com | |
| domain | appcompat.me | |
| domain | appcompat.su |