Vultur 안드로이드 악성코드

새로운 Android 뱅킹 트로이 목마가 연구원에 의해 발견되었습니다. 그들은 Vultur라는 이름을 지정하고 이러한 유형의 맬웨어 위협에서 처음으로 사용된 것으로 보이는 일부 특성에 대한 정보를 공개했습니다. 그러나 위협의 최종 목표는 여전히 은행 자격 증명 및 기타 민감한 사용자 정보를 획득하고 데이터를 사이버 범죄자의 서버로 유출하는 것입니다. 지금까지 Vultur는 이탈리아, 호주 및 스페인에 주요 초점을 두고 여러 국가의 은행 및 암호화 관련 기관의 응용 프로그램을 대상으로 합니다.

초기 공격 벡터 및 기능

Vultur는 Google Play 스토어에서 다운로드할 수 있는 'Protection Guard'라는 가짜 보안 애플리케이션으로 위장했습니다. 삭제되기 전에 위협적인 앱은 약 5,000건의 다운로드를 축적했습니다. 사용자의 기기에 들어가면 Vultur가 진정한 유해 가능성을 드러냅니다.

Vultur는 대부분의 다른 뱅킹 트로이 목마에서 관찰되는 일반적인 오버레이 공격 방법 대신 새로운 기술을 사용합니다. VNC(가상 네트워크 컴퓨팅)의 원격 화면 공유 기능을 사용하여 손상된 장치에서 수행되는 모든 활동을 불법적으로 추적하기 시작합니다. 장치에서 로컬로 실행되는 VNC 서버에 대한 원격 액세스를 용이하게 하기 위해 위협 요소는 'ngrok'이라는 크로스 플랫폼 유틸리티를 배포합니다. 마지막으로, 키로깅 루틴을 시작하기 위해 Vultur는 뱅킹 트로이 목마와 관련된 일반적인 동작인 장치의 접근성 서비스를 악용합니다.

다른 악성코드와의 관계

연구원들은 또한 Vultur와 Brunhilda라는 이전에 탐지된 드로퍼 위협 사이의 일부 링크를 발견했습니다. 드롭퍼는 문서화된 여러 안전하지 않은 작업의 일부였으며 MaaS(Malware-as-a-Service) 체계로 제공되는 것으로 믿어집니다. 피해자의 기기에 다양한 악성코드 유형을 전달할 수 있으며 일반적으로 Play 스토어의 무기화된 애플리케이션을 통해 배포됩니다. 두 위협 간의 겹침은 공격의 소스 코드와 Command-and-Control(C2, C&C) 인프라 내부에서 발견되었습니다.