상세 컨텐츠

본문 제목

스크린 녹화를 통해 크리덴셜을 탈취하는 안드로이드 뱅킹 트로이목마 Vultur 발견

국내외 보안동향

by 알약4 2021. 8. 2. 14:00

본문

 

 

Android Banking Trojan Vultur uses screen recording for credentials stealing

 

ThreatFabric의 연구원들이 로그인 크리덴셜을 캡처하기 위해 화면 녹화 및 키로깅을 사용하는 새로운 안드로이드 뱅킹 트로이목마인 Vultur를 발견했습니다.

 

Vultur20213월 말 처음으로 발견되었으며, AlphaVNC에서 가져온 가상 네트워크 컴퓨팅(VNC) 구현을 통해 피해자의 기기에 대한 완전한 가시성을 얻습니다.

 

ThreatFabric은 분석을 통해 아래와 같이 밝혔습니다.

 

“스크린을 녹화하고 키로깅을 통해 자동화되고 확장이 가능한 방식으로 로그인 크리덴셜을 수집하는 안드로이드 뱅킹 트로이목마를 처음으로 목격했습니다. 공격자는 다른 안드로이드 뱅킹 트로이목마에서 일반적으로 볼 수 있는 HTML 오버레이 전략에서 벗어났습니다. 이 접근 방식은 사용자로부터 관련 정보를 훔치기 위해 보통 더 많은 시간과 노력을 필요로 합니다. 대신, 화면에 표시되는 내용을 단순히 기록하기로 선택해 효과적으로 동일한 결과를 얻습니다.”

 

Vultur에서 노리는 대부분의 앱은 이탈리아, 호주, 스페인의 은행을 노리며 전문가들은 Brunhilda라는 인기있는 드롭퍼 프레임워크와의 관련성을 발견했습니다.

 

전문가들은 Vultur와 관련이 있는 드롭퍼 애플리케이션 최소 2가지를 발견했습니다. 이 중 하나는 구글 플레이에서 5천 회 이상 설치되었습니다.

 

전문가들은 해당 악성코드가 이미 기기 수천 대를 감염시켰다고 추측했습니다.

 

Vultur는 기기에서 실행되는 VNC 서버에 원격으로 접근하기 위해 ngrok을 사용합니다.

 

이 뱅킹 트로이목마는 안드로이드의 접근성 서비스를 활용해 전면에 있는 애플리케이션이 무엇인지 알아냅니다해당 애플리케이션이 Vultur에서 노리는 앱 목록에 포함되어 있을 경우, 스크린 녹화 세션을 시작합니다.

 

이 악성코드는 알림 패널에 “Protection Guard”라는 이름으로 위장하여 표시됩니다.

 

 

<이미지 출처 : https://www.threatfabric.com/blogs/vultur-v-for-vnc.html>

 

 

Vultur는 접근성 서비스를 활용하여 화면에서 누른 모든 키를 기록하고, 애플리케이션을 수동으로 제거하는 것을 방지합니다.

 

또한 이 악성코드는 가상화폐 지갑의 크리덴셜 및 소셜 미디어 애플리케이션을 집중적으로 훔칩니다.

 

“Vultur를 통해 공격자들이 언더그라운드 마켓에서 판매되는 트로이목마(서비스형 악성코드)를 이용하는 것에서 벗어나 범죄자의 요구에 맞춘 독점/사설 악성코드를 사용하기 시작했는지 알 수 있었습니다. 이를 통해 악성 소프트웨어의 배포 및 운영 프로세스를 모두 포괄하는 그룹을 관찰할 수 있었습니다." 

“모바일 플랫폼의 뱅킹 공격은 더 이상 잘 알려진 오버레이 공격을 기반으로 하지 않으며, RAT와 같은 악성코드를 사용하는 것으로 진화했습니다. 이들은 스크린 녹화를 시작하기 위해 전면의 애플리케이션을 탐지하는 등과 같은 유용한 기술을 사용하기 시작했습니다. 이로써 해당 기능이 새로운 기기에서 사기를 수행해야 하는 피싱 MO를 기반으로 한 탐지를 우회하여 ‘온 디바이스’ 사기의 위험에 노출시키기 때문에 공격의 수준을 상승시키는 결과를 낳게 됩니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/120696/malware/android-banking-trojan-vultur.html

https://www.threatfabric.com/blogs/vultur-v-for-vnc.html

 

관련글 더보기

댓글 영역