Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향패스워드를 훔치기 위해 VNC를 사용하는 새로운 Android 맬웨어
작성일 2021-07-30 조회 191

 

 

이전에 문서화되지 않은 Android 기반 원격 액세스 트로이 목마(RAT)가 화면 녹화 기능을 사용하여 은행 자격 증명을 포함하여 기기의 민감한 정보를 훔치고 기기 내 사기로 이어지는 것이 밝혀졌다.


VNC(가상 네트워크 컴퓨팅)의 원격 화면 공유 기술을 사용하여 표적 사용자에 대한 완전한 가시성을 확보하기 때문에 "Vultur"라는 별명이 붙은 모바일 멀웨어는 공식 Google Play 스토어를 통해 배포되었으며 "Protection Guard"라는 앱으로 가장했다. 이탈리아, 호주, 스페인에 위치한 기업의 은행 및 암호화폐 지갑 앱이 주요 타겟이었다.


ThreatFabric의 연구원은 The Hacker News와 공유한 writeup에서 "처음으로 화면 녹화 및 키로깅을 자동화되고 확장 가능한 방식으로 로그인 자격 증명을 수집하는 주요 전략으로 사용하는 Android 뱅킹 트로이목마를 관찰하고 있다. 공격자는 다른 Android 뱅킹 트로이 목마에서 일반적으로 볼 수 있는 일반적인 HTML 오버레이 개발에서 벗어났다. 이 접근 방식은 일반적으로 사용자를 속일 수 있는 여러 오버레이를 생성하기 위해 공격자가 더 많은 시간과 노력을 투자해야 한다. 대신 화면에 표시되는 내용을 기록하기만 하면 효과적으로 동일한 최종 결과를 얻을 수 있다." 라고 말했다.


이번 주 초에 발표된 보고서에서 이탈리아 사이버 보안 회사 Cleafy는 Oscorp의 업데이트된 변종인 UBEL을 발견했다. 이 업데이트는 WebRTC를 사용하여 감염된 Android 전화와 실시간으로 상호 작용하는 것으로 관찰되었다. Vultur도 유사한 전술을 채택하는데, 접근성 권한을 활용하여 키 입력을 캡처하고 VNC의 화면 녹화 기능을 활용하여 전화기의 모든 활동을 은밀하게 기록하므로 새 장치를 등록할 필요가 없고 은행이 사기를 감지하기 어렵게 하기 때문이다. 


이 악성코드는 NAT와 방화벽 뒤에 있는 로컬 서버를 보안 터널을 통해 공용 인터넷에 노출하는데 사용되는 크로스 플랫폼 유틸리티인 ngrok을 사용하여 전화기에서 로컬로 실행되는 VNC 서버에 대한 원격 액세스를 제공한다. 또한, 명령 및 제어(C2)서버와의 연결을 설정하여 Firebase 클라우드 메시징(FCM)을 통해 명령을 수신하고 추출된 데이터 및 화면 캡처를 포함한 결과가 서버로 다시 전송된다.


ThreatFabric은 조사에서 Vultur를 Brunhilda라는 잘 알려진 또 다른 악성 소프트웨어와 연결했다. 이 드로퍼는 Play 스토어를 활용하여 "DaaS(Dropper-as-a-Service)" 작업이라고 하는 방식으로 다양한 종류의 맬웨어를 배포하는 드로퍼이다. ThreatFabric는 Brunhilda가 자체 드롭퍼와 독점 RAT Vultur를 보유한 사적으로 운영되는 위협 행위자임을 나타낸다고 말했다.


연구원들은 "Vultur의 이야기는 공격자들이 지하 시장에서 판매되는 임대 트로이 목마(MaaS)를 사용하는 것에서 이 그룹의 요구에 맞게 조정된 독점/사설 맬웨어로 전환하는 방법을 다시 한 번 보여준다. 이러한 공격은 사기를 수행하기 위한 작업을 악성코드 백엔드에서 스크립트로 작성하고 명령 시퀀스의 형태로 전송할 수 있기 때문에 확장 가능하고 자동화되어 공격자가 쉽게 도주할 수 있게 해준다."라고 말했다.

 

 

 

 


출처
https://thehackernews.com/2021/07/new-android-malware-uses-vnc-to-spy-and.html

첨부파일 첨부파일이 없습니다.
태그 Vultur  Protection Guard  VNC