Vultur 데이터 수집 RAT에 시달리는 Android 사용자

시티즈 보안 연구원은 전 세계의 Android 기반 장치에서 데이터를 수집 하는 새로운 RAT(원격 액세스 트로이 목마)를 발견했습니다. Vultur라고 불리는 RAT는 로그인 자격 증명과 뱅킹 세부 정보를 수집하고 감염된 모든 장치에서 원격 코드 실행(RCE)을 실행할 수 있습니다.

변장한 악마

일반적으로 스팸 및 스폰서 링크에 의존하여 전파되는 다른 형태의 맬웨어와 달리 Vultur의 제작자는 RAT에 다소 오해의 소지가 있는 이름인 "Protection Guard"를 지정하기로 결정했습니다. 후자는 공식 Google Play 스토어에 올라 있으며 출시 이후 5,000회 이상 다운로드되었습니다. 이러한 기생충은 눈 깜짝할 사이에 수백만 대의 Android 기기에 도달할 수 있지만 Vultur는 하나 이상의 디지털 통화 코인 애플리케이션을 설치한 Android 사용자만 대상으로 하는 맞춤형 접근 방식을 채택했습니다.

VNC를 활용하는 최초의 Android 위협

모바일 장치를 완전히 장악할 수 있는 Android 대상 트로이 목마는 이전에 없었습니다. 멀웨어로서 Vultur의 성공 비결은 VNC(Virtual Network Computing)를 사용하여 RAT가 자동화된 원격 화면 녹화 및 키로깅을 수행할 수 있게 하는 것입니다. 따라서 Vultur는 오버레이 공격 기반 대응물보다 더 많은 피해를 입히는 것처럼 보이지만 후자가 훨씬 더 일반적입니다. 오버레이 공격에서 Banker.BR , MysteryBot 또는 Grandoreiro 와 같은 트로이 목마는 가짜 로그인 페이지를 만들고 암호, 사용자 이름 등을 수집하기 위해 정품 뱅킹 응용 프로그램을 열 때마다 로드합니다. VNC 공격에서 트로이 목마는 Vultur와 같은 시스템은 화면에 나타나는 모든 것을 비디오로 녹화합니다. 이를 위해 RAT는 키 입력, 웹 브라우징, 멀티미디어 등의 로그를 유지하기 위해 대상의 허가를 받아야 합니다. 또한 로컬 서버의 개인 콘텐츠를 포착하고 활성 C&C 서버와 브리지를 설정합니다.

브룬힐다와의 연결

Vultur RAT는 악명 높은 Brunhilda 맬웨어와 유사합니다. 둘 다 간단한 PC 최적화 도구로 위장하여 공식 GooglePlay 스토어에 나타나기 때문입니다. 그러나 이러한 도구는 종종 시스템의 버그를 수정하는 대신 맬웨어를 실행하는 경향이 있습니다. Vultur RAT와 Brunhilda는 모두 Dark Web에서 대여하거나 구매하지 않고 처음부터 개발했습니다.