포스팅 내용

국내외 보안동향

HeroRAT, 완전히 새로운 텔레그램 기반 안드로이드 RAT 배포 중

HeroRAT – A totally new Telegram-based Android RAT is spreading in the wild


연구원들이 C&C 및 데이터 추출에 텔레그램 프로토콜을 사용하는 새로운 안드로이드 RAT인 HeroRat을 발견했습니다.


HeroRat은 텔레그램 프로토콜을 악용하는 첫 번째 악성코드는 아닙니다. TeleRAT, IRRAT과 같은 유사한 위협이 과거에도 발견 되었습니다.


이 새로운 RAT은 적어도 2017년 8월부터 사용자들을 공격해왔으며, 2018년 3월에는 텔레그램 해킹 채널에 무료로 소스코드가 공개 되어 공격자들이 다양한 변종을 만들 수 있게 되었습니다.


HeroRat은 이런 방식으로 태어났지만, 해당 소스코드를 차용한 다른 변종들과는 꽤 다른 것으로 보입니다. 


HeroRat은 Zamarin 프레임 워크를 사용하여 C#을 사용해 처음부터 개발 된 첫 번째 텔레그램 기반 악성코드입니다. 기존 변종들은 Java로 작성 되었습니다.


이 RAT은 Telesharp 라이브러리를 이용해 C#으로 텔레그램 봇을 생성합니다.


“이러한 변종들 중 하나는 나머지들과는 다릅니다. 소스코드가 무료로 제공되고 있음에도, 이는 전용 텔레그램 채널에서 HeroRat이라는 이름으로 판매 되고 있습니다.”


“기능에따라 3가지 가격 모델로 제공 되며, 지원 영상 채널이 함께 제공 됩니다. 이 변종이 소스 코드를 이용해 만들어졌는지, 아니면 이 변종이 유출 된 소스 코드의 “원본”인지는 분명하지 않습니다.”


이 악성코드는 다양한 채널을 통해 배포 됩니다. 써드파티 앱 스토어에서 소셜 미디어 및 메시징 앱으로 위장되어 배포 됩니다.


연구원들은 이란에서 가장 많은 감염이 발생 된 것을 발견하였습니다. 또한 악성 앱들은 무료 비트코인, 무료 인터넷 연결, 소셜 미디어의 팔로어 등을 제안했습니다.


<이미지 출처 : https://securityaffairs.co/wordpress/73669/malware/herorat-telegram-based-android-rat.html>


연구원들이 분석한 이 앱들은 다소 이상한 행동을 보여줍니다. 피해자의 기기에서 악성 코드가 설치 되고 실행 되면, 이는 어플리케이션이 기기에서 실행 될 수 없으며, 따라서 언인스톨 된다는 작은 팝업을 표시합니다.


언인스톨이 완료된 것처럼 보이고 앱과 관련 된 아이콘이 사라지게 되는 순간, 불행하게도 공격자는 이미 피해자 기기를 제어할 수 있는 상태가 됩니다.


공격자는 텔레그램 봇 기능을 이용해 감염 된 기기를 제어해, 이 악성코드는 데이터 추출, 오디오/비디오 녹음 등과 같은 다양한 명령을 실행할 수 있게 됩니다.


“이 악성코드는 텍스트 메시지 및 연락처에 인터셉트, 텍스트 메시지 전송, 전화 걸기, 오디오/스크린 녹화, 기기 위치 정보 수집, 기기의 설정 제어 등 광범위한 스파잉 및 파일 추출 기능을 갖추고 있습니다.”


HeroRat의 소스코드는 650달러에 판매 되고 있습니다. 악성코드 패키지는 기능에 따라 브론즈, 실버, 골드 3개 패키지로 판매 되며 각각 25, 50, 100달러입니다.


이 악성코드의 기능은 텔레그램 봇 인터페이스에서 클릭이 가능한 버튼의 형태로 제공됩니다. 공격자는 단순히 버튼을 누르는 것 만으로 피해를 입은 기기들을 제어할 수 있습니다.


<이미지 출처 : https://securityaffairs.co/wordpress/73669/malware/herorat-telegram-based-android-rat.html>


알약M에서는 해당 악성앱에 대해 Trojan.Android.HiddenApp로 탐지중에 있습니다. 





출처 : 

https://securityaffairs.co/wordpress/73669/malware/herorat-telegram-based-android-rat.html

https://www.welivesecurity.com/2018/06/18/new-telegram-abusing-android-rat/


티스토리 방명록 작성
name password homepage