O trojan bancário Vultur para Android ressurgiu com novos recursos e técnicas aprimoradas de evasão de detecção e análise, permitindo que seus operadores interajam remotamente com dispositivos móveis e colem dados sensíveis. Segundo o pesquisador Joshua Kamp, o Vultur agora está disfarçando sua atividade maliciosa por meio de comunicação C2 (comando e controle) criptografada, utilizando múltiplos payloads criptografados que são decifrados em tempo real e se passando por aplicativos legítimos para executar suas ações maliciosas.

O Vultur foi divulgado pela primeira vez no início de 2021, com a capacidade de explorar as APIs de serviços de acessibilidade do Android para realizar suas ações maliciosas. O malware foi observado sendo distribuído através de aplicativos dropper trojanizados na Google Play Store, que se passam por aplicativos de autenticação e produtividade para enganar os usuários a instalá-los.

Outras cadeias de ataque envolvem a disseminação dos droppers por meio de uma combinação de mensagens SMS e chamadas telefônicas, uma técnica conhecida como entrega de ataque orientada por telefone (TOAD), para servir uma versão atualizada do malware. Após a instalação, o dropper malicioso executa três payloads relacionados que registram o bot no servidor C2, obtêm permissões de serviços de acessibilidade para acesso remoto via AlphaVNC e ngrok, e executam comandos obtidos do servidor C2.