10,000개의 장치를 맬웨어로 감염시킨 후 MFA Android 앱이 다운됨

Android 뱅킹 트로이 목마가 포함된 다단계 인증 앱이 최근 Google Play Android 스토어에서 삭제되었습니다. 그러나 보안 연구원에 따르면 이 앱은 게시 중단 전에 약 1만 번 다운로드되었습니다.

응용 프로그램은 주석에서 말한 대로 수행했습니다. 간단한 이름인 "2FA Authenticator"에 맞게 MFA 기능이 포함되어 있습니다. 그러나 피해자의 휴대폰에서 뱅킹 로그인 자격 증명을 빼낼 수 있는 Android 도용자인 Vultur 뱅킹 트로이 목마도 포함되어 있습니다.

기능적 MFA 앱에 숨겨진 Vultur 멀웨어

이 앱의 문제는 보안 회사인 Pradeo의 연구팀에서 다루었습니다. 그들의 보고서에 따르면 앱을 통해 Vultur를 배포하는 해커는 작동하고 합법적으로 보이는 MFA 앱을 만드는 노력을 기울였습니다. 이는 그들이 인포스틸러 트로이 목마를 배포할 설득력 있는 수단을 갖기 위함입니다.

프라데오에 따르면 이 앱이 1차적으로 구글 플레이스토어에 올라도 2주 동안 버틸 수 있었던 이유는 이지스 인증자 프로젝트에 속한 오픈소스 인증코드를 사용했기 때문이다. 앱 내부에 작동하는 MFA 모듈이 있다는 사실은 앱을 잘 위장하고 한동안 눈에 띄지 않게 유지하는 데 도움이 되었습니다.

Vultur는 유사한 스틸러에 사용되는 일반적인 HTML 오버레이에서 벗어나 장치 화면에서 일어나는 일을 기록하는 최초의 RAT였기 때문에 특별했습니다. Vultur 악성코드는 2021년 초에 처음 발견되었습니다.

추가 권한을 요구하는 Vultur-Laden 앱

현재 제거된 악성 MFA 앱은 뱅킹 트로이 목마를 포함하는 것 외에도 스토어 페이지에 공개된 것보다 훨씬 더 많은 권한을 요구했습니다. 이러한 권한이 부여되면 악성코드 배후의 악의적인 행위자가 피해자의 GPS 위치를 추적하고 다른 앱을 다운로드하며 전체 장치를 제어할 수도 있습니다.

악성 앱을 다운로드한 10,000명의 사용자 모두는 데이터 및 자격 증명 도용의 위험을 최소화하기 위해 가능한 한 빨리 앱을 제거하는 것이 좋습니다.