Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Rogue 안드로이드 RAT가 다크웹에서 등장
작성일 2021-01-14 조회 68

전문가들은 감염된 기기를 장악하고, 사용자 데이터를 훔칠 수 있는 'Rogue'라고 불리는 안드로이드 RAT를 발견했다.

 

Rogue는 Check Point의 연구원들이 Triangulum과 HeXaGoN Dev로 알려진 다크넷 위협 행위자들의 활동을 조사하는 동안 발견한 새로운 모바일 RAT이다.

 

Triangulum은 2017년 6월부터 아마추어 개발자로 활동했지만, 이후 파트너쉽 네트워크 개발, 투자, 잠재 구매자에게 악성 프로그램을 배포하는 등 운영을 강화했다.

 

Triangulum은 HeXaGoN Dev에서 만든 여러 프로젝트를 구입했으며, 전문가들은 HeXaGon Dev의 프로그래밍 기술과 Triangulum의 소셜 마케팅 기술의 조합은 위협이 분명하다고 지적했다.

 

CheckPoint에서 게시한 게시물에는 "Triangulum과 HeXaGoN Dev가 협업하여 Rogue 악성코드 제작하고 다크넷에 도입했습니다."라고 나와 있다.

 

"Rogue는 MRAT 제품군(모바일 RAT)의 일부이다. 이러한 유형의 악성코드는 호스트 장치를 제어하고 사진, 위치, 연락처 및 메시지와 같은 모든 종류의 데이터를 유출하여 장치의 파일을 수정하고 추가 악성 페이로드를 다운로드할 수 있다."

 

대상 장치에서 필요한 모든 권한을 얻으면 Rogue RAT는 장치에서 아이콘을 숨기고, 필요한 모든 권한이 부여되지 않은 경우 사용자에게 부여하도록 반복적으로 요청한다.

 

또한, 악성코드는 장치 관리자로 등록된다. 피해자가 관리자 권한을 취소하면 악성코드는 화면에 '데이터를 모두 지우시겠습니까?'라는 메시지를 표시하여 피해자를 위협한다.

 

Rogue는 구글의 앱 서비스인 Firebase 플랫폼을 통해 구글의 활동을 숨기고, 장치로 보내는 명령을 제저하여 데이터를 필터링한다.

 

Rogue는 Firebase에서 구현한 다음 서비스를 사용한다.
- C&C로부터 명령을 수신하는 'Cloud Messaging'
- 장치에서 데이터를 업로드하기 위한 'Realtime Database'
- 파일 업로드를 위한 'Cloud Firestore'

 

"Rogue 악성코드의 사례는 모바일 장치의 악용 방법을 보여주는 예이다. Triangulum과 마찬가지로 다른 위협 행위자도 기술을 완벽하게 갖추고 있으며, 다크웹을 통해 모바일 악성 프로그램을 판매하고 있어 새로운 위협에 경계해야 한다."

 

 

출처
https://securityaffairs.co/wordpress/113369/malware/rogue-android-rat-darkweb.html
https://blog.checkpoint.com/2021/01/12/going-rogue-a-mastermind-behind-android-malware-returns-with-a-new-rat/

첨부파일 첨부파일이 없습니다.
태그 다크웹  RAT  Rogue