진화된 원격 제어 기능으로 돌아온 ‘불투르’ 안드로이드 RAT 악성코드

2024-04-01     길민권 기자

‘불투르(Vultur)’ 안드로이드 뱅킹 악성코드가 새로운 기능과 향상된 우회 기법을 장착하고 모바일 환경을 위협하고 있다.

2021년 초에 처음 발견된 Vultur는 처음에는 안드로이드의 접근성 서비스 API를 활용해 악의적인 작업을 실행했다. 그러나 최신 버전의 트로이목마는 업그레이드된 원격 제어 기능을 적용해 위협 행위자가 감염된 디바이스와 원격으로 상호 작용할 수 있게 되었다.

Vultur 주요 업그레이드 사항은 암호화된 통신과 합법적인 애플리케이션의 사용을 통해 악성 활동을 위장하는 기능이다. 명령 제어(C2) 통신을 암호화하고 여러 개의 암호화된 페이로드를 사용해 보안솔루션의 탐지를 효과적으로 회피함으로써 위협을 분석하고 대응하기 위한 노력을 복잡하게 만든다.

또한 이 악성코드는 인증 또는 생산성 애플리케이션으로 위장한 트로이목마 드로퍼 앱을 통해 구글 플레이 스토어에 배포된다.

Vultur는 구글 플레이 스토어를 통한 배포 외에도 의심하지 않는 사용자를 대상으로 SMS 메시지와 전화 통화를 결합해 피해자가 트로이 목마 드로퍼 앱을 설치하도록 유인함으로써 트로이 목마의 도달 범위를 극대화한다.

설치가 완료되면 악성 드로퍼는 APK 및 DEX 파일을 포함한 여러 페이로드를 실행해 감염된 디바이스에 발판을 마련한다. 이러한 페이로드를 통해 Vultur는 C2 서버에 등록하고, 접근성 서비스 권한을 획득하고, C2 서버에서 가져온 원격 명령을 실행할 수 있다.

Vultur의 진화에서 가장 우려되는 측면 중 하나는 위협 행위자가 감염된 디바이스에서 다양한 악성 활동을 수행할 수 있도록 하는 향상된 원격 제어 기능이다. 클릭, 스크롤, 스와이프 명령을 내리는 것부터 파일 다운로드, 업로드, 삭제에 이르기까지 Vultur는 위협 공격자가 감염된 디바이스를 완벽하게 제어할 수 있도록 지원한다.

Vultur 안드로이드 뱅킹 트로이 목마 및 이와 유사한 위협을 효과적으로 방어하려면 보안 담당자는 모바일 보안에 대한 다계층 접근 방식을 적용하는 것이 중요하다. 또 강력한 앱 검사 절차 구현, 신뢰할 수 없는 애플리케이션 다운로드의 위험성에 대한 사용자 교육, 고도의 위협 탐지 및 완화 기술 활용이 필요하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★