포스팅 내용

국내외 보안동향

Telegram, Threema 앱으로 위장한 새로운 안드로이드 스파이웨어 발견

Beware: New Android Spyware Found Posing as Telegram and Threema Apps

 

중동에서 발생한 공격으로 알려진 해킹 그룹이 Telegram, Threema와 같은 정식 앱으로 위장한 새로운 악성 코드를 통해 안드로이드 기기를 감염시키고 있었던 것으로 나타났습니다.

 

이 악성코드를 분석한 ESET은 아래와 같이 언급했습니다.

 

“Android/SpyC23.A2017년 문서화된 버전과 비교했을 때 스파잉 기능이 더욱 확장되었습니다. 메시징 앱의 알림 읽기, 전화 기록, 화면 녹화 기능이 추가되었으며 내장 안드로이드 보안 앱의 알림을 없애는 등 새로운 스텔스 기능이 생겼습니다.”

 

2017Qihoo 360에서 Two-tailed Scorpion (APT-C-23, Desert Scorpion으로도 알려짐)으로 명명한 이 모바일 악성코드는 전화 기록, 연락처, 위치, 메시지, 사진, 기타 민감 문서를 유출해 타깃의 기기를 스파잉하는 기능을 포함하고 있어 서베일런스웨어(surveillanceware)”로 분류됩니다.

 

2018, 시만텍은 이 캠페인의 새로운 변종을 발견했습니다. 기기의 정보를 수집하고 피해자가 추가 악성코드를 설치하도록 속이기 위해 악성 미디어 플레이어를 미끼로 사용하고 있었습니다.

 

2020년 초, Check PointAPT-C-23의 새로운 활동을 탐지했습니다. Hamas 운영자는 페이스북, 인스타그램, 텔레그램에서 어린 십대 소녀를 가장해 이스라엘 군인이 악성코드에 감염된 앱을 설치하도록 속였습니다.

 

 

<이미지 출처: https://www.welivesecurity.com/2020/09/30/aptc23-group-evolves-its-android-spyware/>

 

 

ESET이 분석한 이 스파이웨어의 최신 버전은 화면 녹화 및 스크린샷, 왓츠앱 전화 녹음, 심지어는 왓츠앱, 바이버, 페이스북, 스카이프, 페이스북 메신저 알림의 텍스트를 읽는 등 소셜 미디어/메시징 앱으로부터 정보를 수집하는 기능을 더욱 강화했습니다.

 

피해자가 가짜 안드로이드 앱 스토어인 “DigitalApps”를 방문하여 Telegram, Threema, weMessage와 같은 앱을 다운로드하면 감염이 시작됩니다. 악성코드가 다양한 권한을 요청하는 것이 정당하게 보이도록 하는 것이 목적인 것으로 보입니다.

 

알림을 읽고 구글 플레이 프로텍트를 끄고 보안 및 프라이버시 보호 기능을 가장하여 사용자의 화면을 녹화하는 것 이외에도 이 악성코드는 새롭게 감염시킨 피해자를 등록하고 기기 정보를 전송하기 위해 C&C 서버와 통신합니다.

 

일반적으로 점검 중인 웹사이트로 가장하는 C2 서버는 해킹된 전화 기기에 명령을 전달하는 역할도 수행합니다. 이 명령은 오디오 녹음, 와이파이 재시작, 기기에 설치된 앱 언인스톨 등을 포함하고 있습니다.

 

검은 화면을 오버레이하여 은밀히 전화를 걸 수 있는 새로운 기능 또한 추가되었습니다.

 

“APT-C-23 그룹은 현재도 활동 중이며 모바일 툴 셋을 개선하고 새로운 작업을 수행하고 있습니다. 이 그룹의 가장 최신 스파이웨어 버전인 Android/SpyC32.A는 많은 기능이 강화되어 피해자에게 더욱 위험합니다.”

 

지난 몇 년 동안, 안드로이드 악성코드는 사기성 써드파티 앱스토어에서 다운로드한 앱을 통해 배포되어 왔습니다. 이러한 위험을 제한하기 위해 앱을 설치하기 전 항상 앱이 요구하는 권한을 면밀히 확인하는 것이 중요합니다.

 

 

 

 

출처:

https://thehackernews.com/2020/10/android-mobile-hacking.html

https://www.welivesecurity.com/2020/09/30/aptc23-group-evolves-its-android-spyware/


티스토리 방명록 작성
name password homepage