분석 정보/모바일 분석 정보

VNC로 원격 조종하는 Vultur

알 수 없는 사용자 2021. 8. 5. 17:31

해외 정보 보안 회사 ThreatFabric 에서 새로운 안드로이드 악성 파일에 대해 발표했다. 이 악성 파일은 장기간 머무르며 먹잇감을 찾는 독수리와 같은 모습에 비유하여 Vultur 라는 이름이 붙여졌다. Vultur 는 최근 유행하는 다른 악성 파일과 마찬가지로 단말기 정보 탈취, 키로깅 기능과 VNC 를 통한 화면 녹화 및 원격 제어 기능을 보유하고 있다.

 

[그림 1] 2FA 인증 앱으로 위장한 Vultur

 

설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면이 출력된다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, Vultur 는 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 등의 행위에 악용한다.

 

[그림 2] 접근성 서비스 권한 요청 화면

 

접근성 서비스 권한을 얻은 Vultur 는 접근성 서비스 이벤트가 발생할 때마다 이벤트 내용을 저장하여 키 로깅 기능을 수행한다. 또한 사용자가 악성 파일을 삭제하는 것을 방해하기 위해 앱 삭제 화면을 출력하면 강제로 이전 화면으로 이동한다.

 

[그림 3] 키로깅 코드

 

Vultur VNC 기능을 사용하기 위해 ngrok 을 이용한다. ngrok 은 본래 터널링을 통해 외부에서 로컬 네트워크로 접속할 수 있도록 포워딩하는 프로그램이나, Vultur 는 감염된 단말기와 VNC 통신을 하는 용도로 이용한다. VNC 서비스가 실행되면 C&C 서버로부터 명령어를 받아 녹화, 제스처 실행, 등의 기능을 수행한다.

 

[그림 4] Vultur VNC 명령어 통신 코드

 

모바일 단말기에는 민감한 개인정보가 저장된 만큼 악성 앱에 감염되지 않도록 주의할 필요가 있다. 악성 앱에 감염되는 것을 방지하기 위해 더 이상 사용하지 않는 불필요한 앱은 삭제하고, 사용하는 앱이면 주기적으로 관리하며 이상 징후가 없는지 확인해야 한다. 또한 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.