ESET(이셋)의 국내 법인 이셋코리아가 APT-C-23 해커 그룹의 새로운 스파이웨어를 발견했다고 밝혔다.
ESET 연구원들은 2017년부터 활동 중이며, 주로 중동 지역을 표적으로 삼는 것으로 알려진위협 그룹인 APT-C-23에서 사용하는 새로운 버전의 Android 스파이웨어를 분석했다.
ESET 보안 제품에서 Android/SpyC23.A로 탐지된 새로운 스파이웨어는 이전에 보고된 버전을 기반으로 구축되어 확장된 스파이 기능, 새로운 은폐 기능 및 업데이트 된 C&C 통신을 한다. 스파이웨어가 배포되는 방법 중 하나는 가짜 Android 앱스토어를 통해 Threema 및 Telegram과 같은 잘 알려진 메시징 앱으로 가장하는 것이다.
ESET 연구원들은 2020년 4월 동료 연구원이 알려지지 않은, 거의 탐지되지 않은 안드로이드 맬웨어 샘플에 대한 트윗을 올리면서 이 맬웨어를 조사하기 시작했다.
Android/SpyC23.A를 분석한 ESET 연구원인 Lukáš Štefanko는 "합동 분석 결과 이 맬웨어는 APT-C-23 무기의 일부이며 모바일 스파이웨어의 새로운 버전이었다"라고 설명했다.
이 스파이웨어는 가짜 Android 앱스토어에서 합법적으로 보이는 앱 뒤에 숨어있는 것으로 밝혀졌다.
Štefanko는 “가짜 앱스토어를 분석해보니 악성 앱과 정상 앱 모두 포함되어 있었다. 맬웨어는AndroidUpdate, Threema 및 Telegram으로 위장한 앱에 숨어 있었다. 어떤 경우에는 피해자가 맬웨어와 사칭된 앱 모두를 설치하게 된다”라고 말했다.
설치 후 맬웨어는 보안 및 개인 정보 보호 기능으로 위장된 일련의 중요 권한을 요청한다. Štefanko는 “공격자들은 사회 공학과 같은 기법을 사용하여 피해자를 속여 맬웨어에 다양한 중요 권리를 부여하도록 했다. 예를 들어 알림 읽기 권한은 메시지 암호화 기능으로 마스킹됩니다”라고 설명했다.
맬웨어가 일단 초기화되면 C&C 서버의 명령을 기반으로 광범위한 스파이 활동을 수행할 수 있다. 업데이트 된 Android/SpyC23.A는 오디오 녹음, 통화 기록, SMS 및 연락처 유출,파일 도용 외에도 메시지 앱에서 알림 읽기, 화면 및 통화 녹화, 일부 내장 Android 보안 앱에서 알림 해제를 할 수 있다. 맬웨어의 C&C 통신도 업데이트를 거치면서 보안 연구원이 C&C 서버를 식별하기가 더 어려워졌다.
APT-C-23 그룹은 운영에 Windows 및 Android 구성 요소를 모두 사용한 것으로 알려져 있으며, Android 구성 요소는 Qihoo 360 Technology가 2017년에 Two-tailed Scorpion이라는 이름으로 처음 설명했다. 이후 APT-C-23의 모바일 맬웨어에 대한 여러 분석이 발표되었다. 이 그룹의 최신 스파이웨어 버전인 Android/SpyC23.A는 여러가지 개선 사항을 통해 피해자에게 더욱 위험하게 되었다.
Štefanko는 "Android 사용자가 스파이웨어로부터 안전하게 보호받으려면 공식 Google Play Store의 앱만 설치하고 요청된 권한을 다시 확인하고 신뢰할 수 있는 최신 모바일 보안 솔루션을 사용하도록 권장한다"라고 말했다.
이 스파이웨어에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 “APT-C-23 group evolves its Android spyware”를 참조하면 된다.
[하반기 최대 공공•금융•기업 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]
-날짜: 2020년 11월 10일 화요일
-장소: 서울 양재동 더케이호텔서울 2층 가야금홀
-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자
(이외 보안실무와 관련 없는 등록자는 참석이 제한될 수 있습니다.)
-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정
-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에
-사전등록: 클릭
-참가기업 모집중: mkgil@dailysecu.com으로 문의
★정보보안 대표 미디어 데일리시큐!★