¿Cómo eliminar el troyano de acceso remoto Vultur del sistema operativo?
Escrito por Tomas Meskauskas el (actualizado)
¿Qué es Vultur?
Vultur es un programa malicioso clasificado como RAT (troyano de acceso remoto). El malware dentro de esta clasificación opera permitiendo el acceso y el control remotos de los dispositivos infectados. Vultur se dirige a los sistemas operativos Android. Este software malicioso busca obtener las credenciales de la banca en línea y la cartera de criptomonedas de las víctimas.
Los bancos australianos, italianos y españoles fueron los más atacados por este troyano; otras campañas más pequeñas se centraron en instituciones bancarias holandesas y del Reino Unido. Además, la lista de monederos de criptomonedas a los que se dirige el RAT Vultur es amplia.
Vultur RAT en detalle
Como se ha mencionado en la introducción, el RAT Vultur permite a los ciberdelincuentes acceder y controlar de forma remota los dispositivos Android infectados. Como la mayoría de los programas maliciosos que se dirigen a los dispositivos que ejecutan este sistema operativo, Vultur se apoya en los Servicios de Accesibilidad para establecer el control sobre los dispositivos. Estos servicios están diseñados para proporcionar ayuda adicional en la lectura e interacción con el dispositivo.
Los Servicios de Accesibilidad de Android pueden leer lo que se muestra en la pantalla del dispositivo y simular la pantalla táctil. El programa malicioso Vultur eleva sus permisos a través de los Servicios de Accesibilidad mostrando continuamente ventanas emergentes, que solicitan la habilitación de los mencionados servicios.
Una vez concedidos los permisos, el malware oculta su aplicación y comienza a abusar de los Servicios de Accesibilidad. De este modo, Vultur puede desbloquear el dispositivo e imitar los gestos/presiones para que el dispositivo los ejecute.
Las principales funcionalidades de este troyano son la grabación de la pantalla y el keylogging (es decir, la grabación de las pulsaciones del teclado). A diferencia de la mayoría del malware bancario dirigido a Android, Vultur no muestra ventanas de inicio de sesión falsas para recoger las credenciales de inicio de sesión. Este RAT emplea las características mencionadas anteriormente para este fin.
La función de grabación de pantalla de Vultur se basa en VNC (Virtual Network Computing), un término muy amplio que hace referencia a rutinas y software que van desde compartir la pantalla hasta el acceso remoto. El troyano utiliza sus capacidades de grabación de pantalla en combinación con el registro de teclas para adquirir la información necesaria (por ejemplo, identificaciones, direcciones de correo electrónico, nombres de usuario, contraseñas, etc.) para obtener el control de las cuentas bancarias y las criptocarteras de las víctimas.
Una vez obtenidos los datos necesarios, los ciberdelincuentes pueden realizar transacciones fraudulentas y/o compras no autorizadas. Este programa malicioso también puede adquirir la lista de aplicaciones instaladas, impedir que los usuarios las desinstalen y hacerse pasar por aplicaciones legítimas (por ejemplo, "Protection Guard").
En resumen, las infecciones por Vultur pueden provocar graves problemas de privacidad, importantes pérdidas económicas y robo de identidad. Si se sabe/sospecha que la RAT Vultur (u otro malware) ya ha infectado el dispositivo, debe utilizarse un antivirus para eliminarla sin demora.
| Nombre | Troyano de acceso remoto Vultur |
| Tipo de amenaza | Malware para Android, aplicación maliciosa, aplicación no deseada. |
| Nombres de detección | Avast-Mobile (Android:Evo-gen [Trj]), BitDefenderFalx (Android.Trojan.Vultur.B), ESET-NOD32 (Una variante de Android/Spy.Vultur.A), Kaspersky (HEUR:Backdoor.AndroidOS.Vultur.a), Lista completa (VirusTotal) |
| Síntomas | El dispositivo va lento, los ajustes del sistema se modifican sin el permiso del usuario, aparecen aplicaciones cuestionables, el uso de datos y de la batería aumenta significativamente, los navegadores redirigen a sitios web cuestionables, aparecen anuncios intrusivos. |
| Métodos de distribución | Archivos adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, aplicaciones engañosas, sitios web de estafa. |
| Daños | Robo de información personal (mensajes privados, inicios de sesión/contraseñas, etc.), disminución del rendimiento del dispositivo, la batería se agota rápidamente, disminución de la velocidad de Internet, grandes pérdidas de datos, pérdidas monetarias, robo de identidad (las aplicaciones maliciosas podrían abusar de las aplicaciones de comunicación). |
| Malware Removal (Android) | Eliminación de malware (Android) Para eliminar las infecciones de malware, nuestros investigadores de seguridad recomiendan escanear su dispositivo Android con un software antimalware legítimo. Recomendamos Avast, Bitdefender, ESET o Malwarebytes. |
Malware en general
TeaBot, Ghimob, MRAT, y BlackRock son algunos ejemplos de malware diseñado para infectar los sistemas operativos Android. El software malicioso puede tener una amplia variedad de habilidades atroces, que pueden estar en diferentes combinaciones. Además, estos programas pueden utilizarse para una amplia gama de propósitos dañinos.
Entre las características más populares del malware se encuentran: la exfiltración de contenidos del sistema, la extracción de datos de los navegadores y otras aplicaciones, el cifrado de datos y/o el bloqueo de la pantalla con fines de rescate (ransomware), la descarga/instalación de malware adicional, la habilitación de acceso y control remotos (RAT), el uso de los recursos del sistema para minar criptomonedas (criptomineros), el espionaje (grabación de la pantalla, de las pulsaciones del teclado, de audio/vídeo a través de micrófonos y cámaras), etc.
Independientemente del funcionamiento del malware, su único objetivo es generar beneficios para los ciberdelincuentes que lo utilizan. Además, todas las infecciones de malware pueden conducir a varios problemas graves; por lo tanto, todas las amenazas y problemas deben ser eliminados inmediatamente después de la detección.
¿Cómo se ha infiltrado Vultur en mi dispositivo?
Se ha observado que Vultur se introduce en los sistemas mediante un troyano cargador/backdoor. Se ha observado que el malware diseñado para causar infecciones con Vultur se propaga bajo la apariencia de aplicaciones relacionadas con el fitness y la autenticación, que se distribuyen a través de Google Play Store. En el momento de la investigación, las aplicaciones falsas tenían miles de descargas, lo que significa que el ámbito de actuación de Vultur podría ser bastante amplio.
En general, el malware suele camuflarse o estar incluido en un paquete de software/medios ordinarios. Sin embargo, es más común que se propague a través de canales de descarga dudosos (por ejemplo, sitios no oficiales y de software gratuito, redes de intercambio Peer-to-Peer, etc.) que a través de fuentes fiables, en las que es más probable que sea detectado y eliminado.
Las herramientas de activación ilegales ("cracks") y las actualizaciones falsas son ejemplos destacados de contenido que prolifera el malware. Las herramientas de "cracking" pueden provocar infecciones en lugar de activar productos con licencia. Los actualizadores ilegítimos infectan los sistemas abusando de los defectos de los programas obsoletos y/o instalando software malicioso en lugar de las actualizaciones prometidas.
Las campañas de spam también se utilizan para distribuir programas maliciosos. Este término define una operación a gran escala durante la cual se envían miles de correos electrónicos engañosos. Los correos fraudulentos pueden llevar adjuntos archivos infecciosos o contener enlaces de descarga de dicho contenido.
Los archivos virulentos pueden estar en varios formatos, por ejemplo, archivos comprimidos (RAR, ZIP), ejecutables (.exe, .run, etc.), documentos PDF y de Microsoft Office, JavaScript, etc. Cuando los archivos se lanzan, se ejecutan o se abren de otra manera, se activa la cadena de infección.
¿Cómo evitar la instalación del malware?
Se aconseja utilizar sólo los canales de descarga oficiales y verificados. El software debe activarse y actualizarse utilizando las funciones proporcionadas por los desarrolladores auténticos. No se deben abrir los correos electrónicos sospechosos/irrelevantes, especialmente los adjuntos o enlaces que se encuentren en ellos.
Para garantizar la integridad del dispositivo y la privacidad del usuario, es primordial tener instalado y mantener actualizado un paquete antivirus/antiespía de confianza. Además, hay que utilizar estos programas para realizar análisis regulares del sistema y eliminar las amenazas detectadas/potenciales.
Menú de acceso rápido:
- Introducción
- ¿Cómo eliminar el historial de navegación del navegador Chrome?
- ¿Cómo desactivar las notificaciones del navegador Chrome?
- ¿Cómo resetear el navegador web Chrome?
- ¿Cómo eliminar el historial de navegación del navegador web Firefox?
- ¿Cómo desactivar las notificaciones del navegador Firefox?
- ¿Cómo resetear el navegador web Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
- ¿Cómo arrancar el dispositivo Android en "Modo seguro"?
- ¿Cómo comprobar el uso de la batería de varias aplicaciones?
- ¿Cómo comprobar el uso de datos de varias aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su estado predeterminado?
- ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?
Eliminar el historial de navegación del navegador web Chrome:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable abierto.
Pulse "Borrar datos de navegación", seleccione la pestaña "AVANZADO", seleccione el rango de tiempo y los tipos de datos que desea eliminar y pulse "Borrar datos".
.
Desactivar las notificaciones del navegador en el navegador web Chrome:
Toque el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Configuración" en el menú desplegable abierto.
Baje hasta que vea la opción "Ajustes del sitio" y tóquela. Baje hasta que vea la opción "Notificaciones" y tóquela.
Busque los sitios web que ofrecen notificaciones del navegador, pulse sobre ellos y haga clic en "Borrar y restablecer". Esto eliminará los permisos concedidos para que estos sitios web entreguen notificaciones. Sin embargo, una vez que visite el mismo sitio de nuevo, puede pedir un permiso de nuevo. Puede elegir si dar estos permisos o no (si elige rechazarlos, el sitio web pasará a la sección "Bloqueado" y ya no le pedirá el permiso).
Resetear el navegador web Chrome:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Baje hasta encontrar la aplicación "Chrome", selecciónela y toque la opción "Almacenamiento".
Toque en "ADMINISTRAR ALMACENAMIENTO", luego en "BORRAR TODOS LOS DATOS" y confirme la acción tocando "OK". Tenga en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Eliminar el historial de navegación del navegador web Firefox:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable abierto.
Baje hasta que vea "Borrar datos privados" y tóquelo. Seleccione los tipos de datos que desea eliminar y pulse "BORRAR DATOS".
Desactivar las notificaciones del navegador en el navegador web Firefox:
Visite el sitio web que envía notificaciones del navegador, toque el icono que aparece a la izquierda de la barra de URL (el icono no será necesariamente un "candado") y seleccione "Editar configuración del sitio".
En la ventana emergente abierta opte por la opción "Notificaciones" y pulse "BORRAR".
Resetear el navegador web Firefox:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Baje hasta encontrar la aplicación "Firefox", selecciónela y toque la opción "Almacenamiento".
Pulse "BORRAR DATOS" y confirme la acción pulsando "BORRAR". Tenga en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada y/o maliciosa, selecciónela y pulse "Desinstalar". Si, por alguna razón, no puede eliminar la aplicación seleccionada (por ejemplo, le aparece un mensaje de error), debe intentar utilizar el "Modo seguro".
Arrancar el dispositivo Android en "Modo seguro":
El "Modo seguro" en el sistema operativo Android deshabilita temporalmente la ejecución de todas las aplicaciones de terceros. El uso de este modo es una buena manera de diagnosticar y resolver varios problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo está funcionando "normalmente").
Pulse el botón de encendido y manténgalo pulsado hasta que vea la pantalla "Apagar". Pulse el icono de "Apagar" y manténgalo pulsado. Después de unos segundos aparecerá la opción "Modo seguro" y podrá ejecutarlo reiniciando el dispositivo.
Comprobar el uso de la batería de varias aplicaciones:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Mantenimiento del dispositivo" y tóquelo.
Pulse "Batería" y compruebe el uso de cada aplicación. Las aplicaciones auténticas/legítimas están diseñadas para utilizar la menor cantidad de energía posible con el fin de proporcionar la mejor experiencia de usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.
Comprobar el uso de datos de varias aplicaciones:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Conexiones" y tóquelo.
Baje hasta que vea "Uso de datos" y seleccione esta opción. Al igual que con la batería, las aplicaciones auténticas están diseñadas para minimizar el uso de datos en la medida de lo posible. Esto significa que un uso enorme de datos puede indicar la presencia de una aplicación maliciosa. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar sólo cuando el dispositivo está conectado a la red inalámbrica. Por este motivo, debe comprobar el uso de datos tanto en el móvil como en la red Wi-Fi.
Si encuentra una aplicación que utiliza muchos datos aunque no la utilice nunca, le aconsejamos encarecidamente que la desinstale lo antes posible.
Instalar las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica cuando se trata de la seguridad del dispositivo. Los fabricantes de dispositivos lanzan continuamente varios parches de seguridad y actualizaciones de Android para corregir errores y fallos de los que pueden abusar los ciberdelincuentes. Un sistema anticuado es mucho más vulnerable, por lo que siempre hay que asegurarse de que el software del dispositivo está actualizado.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Actualización de software" y tóquelo.
Pulse "Descargar actualizaciones manualmente" y compruebe si hay actualizaciones disponibles. Si es así, instálelas inmediatamente. También recomendamos activar la opción "Descargar actualizaciones automáticamente" - permitirá que el sistema le notifique una vez que se publique una actualización y/o la instale automáticamente.
Restablecer el sistema a su estado por defecto:
Realizar un "Reset de fábrica" es una buena manera de eliminar todas las aplicaciones no deseadas, restaurar la configuración del sistema a su estado por defecto y limpiar el dispositivo en general. Sin embargo, hay que tener en cuenta que se borrarán todos los datos del dispositivo, incluidas las fotos, los archivos de vídeo/audio, los números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), los mensajes SMS, etc. En otras palabras, el dispositivo será restaurado a su estado primitivo.
También puede restaurar los ajustes básicos del sistema y/o simplemente los ajustes de red.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Acerca del teléfono" y tóquelo.
Baje hasta que vea "Restablecer" y tóquelo. Ahora seleccione la acción que desea realizar:
"Restablecer ajustes" - restablece todos los ajustes del sistema a sus valores predeterminados;
"Restablecer ajustes de red": restablece todos los ajustes relacionados con la red a sus valores predeterminados;
"Restablecer datos de fábrica" - restablecer todo el sistema y borrar completamente todos los datos almacenados;
Desactivar las aplicaciones que tienen privilegios de administrador:
Si una aplicación maliciosa obtiene privilegios de administrador puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible hay que comprobar siempre qué aplicaciones tienen dichos privilegios y desactivar las que no deberían.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Pantalla de bloqueo y seguridad" y tóquelo.
Baje hasta que vea "Otros ajustes de seguridad", tóquelo y luego toque "Aplicaciones de administrador del dispositivo".
Identifique las aplicaciones que no deben tener privilegios de administrador, tóquelas y luego toque "DESACTIVAR".
Preguntas frecuentes (FAQ)
¿Cuáles son los mayores problemas que puede causar el malware?
En la mayoría de los casos, las víctimas de ataques de malware pierden dinero y (o) archivos, se convierten en víctimas de robos de identidad, pierden cuentas personales en línea (por ejemplo, redes sociales, correo electrónico, juegos y otras cuentas), etc.
¿Cuál es el objetivo del RAT Vultur?
Vultur es un troyano de administración remota que roba la información utilizada para acceder (iniciar sesión) a cuentas bancarias en línea y carteras de criptomonedas. Puede grabar la pantalla y registrar las pulsaciones del teclado.
¿Cómo se ha infiltrado el malware Vultur en mi dispositivo?
Se sabe que Vultur se ha distribuido a través de aplicaciones falsas (troyanizadas) relacionadas con el fitness y la autenticación en Google Play Store. En otros casos, los delincuentes utilizan tiendas de terceros, páginas no oficiales, SMS, correo electrónico y canales similares para distribuir el malware móvil.
¿Me protegerá Combo Cleaner del malware?
Sí, Combo Cleaner incluye un analizador antivirus capaz de detectar casi todo el malware conocido. Es importante mencionar que el malware de gama alta suele esconderse en lo más profundo del sistema. Por lo tanto, los ordenadores infectados con malware de este tipo deben ser analizados en su totalidad (utilizando la opción de análisis completo).
¡Excelente!
▼ Mostrar discusión.