새로운 Goontact 스파이웨어, 안드로이드 및 iOS 사용자 노려

New Goontact spyware discovered targeting Android and iOS users

 

보안 연구원들이 스파잉, 감시 기능을 포함한 새로운 악성코드 변종을 발견했습니다. 이 악성코드는 안드로이드와 iOS 버전에서 모두 작동합니다.

 

Goontact라 명명된 이 악성코드는 감염된 피해자의 휴대전화 기기 식별자, 연락처, SMS 메시지, 사진, 위치 정보와 같은 데이터를 수집하는 기능을 포함하고 있습니다.

 

모바일 보안 회사인 Lookout이 발견한 Goontact 악성코드는 현재 에스코트 서비스(escort service)를 제공하는 무료 인스턴트 메시징 앱을 홍보하는 타사 사이트를 통해 배포되고 있습니다.

 

Lookout은 보고서를 통해 이 사이트의 타깃은 현재 중화권 국가, 한국, 일본으로 한정되어 있다고 밝혔습니다.

 

이 악성코드는 아직까지 공식 애플 및 구글 앱스토어에 등록되지는 않았지만, 사용자들이 Goontact에 감염된 애플리케이션을 다운로드 및 사이드로딩 하고 있는 것으로 추측할 수 있는 흔적이 발견되었습니다.

 

이러한 앱에서 수집된 데이터는 Goontact 관리자가 제어하는 온라인 서버로 전송됩니다.

 

연구원들은 이 서버의 관리자 패널에 사용된 언어로 미루어보아 Goontact 작전이 중국어를 구사하는 공격자의 작업일 것이라 추측했습니다.

 

과거 섹스토션 캠페인과 관련 되었을 가능성 있어

 

Lookout의 보안 엔지니어인 Apurva Kumar는 Goontact 작업이 2018년 Trend Micro가 분석한 섹스토션 캠페인[PDF]과 매우 유사하다고 밝혔습니다.

 

아직까지 확실한 증거는 없지만 Kumar는 이 앱을 통해 수집된 데이터가 추후 피해자가 적은 금액의 랜섬머니를 지불하지 않을 경우 친구들과 기기 내 연락처에 데이터가 노출될 것이라 협박하는데 이용될 것으로 추측했습니다.

 

Kumar는 ZDNet 측에 아래와 같이 밝혔습니다.

 

“구글과 애플에 이 공격에 대해 모두 알렸으며, 모든 안드로이드 및 iOS 사용자를 Goontact로부터 보호하기 위해 적극적으로 협조하고 있습니다.”

 

애플은 해당 앱을 서명한 기업 인증서를 취소하여 앱이 기기에서 작동하지 않을 것이라 밝혔으며 Play Protect는 기기에 Goontact 안드로이드 샘플이 설치되어 있을 경우 사용자에게 이를 알릴 것이라고 설명했습니다. 

 

Goontact에 감염된 앱은 Lookout의 보고서의 끝 부분에서 확인하실 수 있습니다.

 

Goontact에 감염된 앱을 배포한 사이트는 아래와 같습니다.

 

<이미지 출처: https://blog.lookout.com/lookout-discovers-new-spyware-goontact-used-by-sextortionists-for-blackmail>

 

현재 이스트시큐리티 알약M에서는 해당 안드로이드 악성코드 샘플을 'Trojan.Android.Agent'로 탐지 중입니다.  

 

 

 

 

 

 

출처: 

https://www.zdnet.com/article/new-goontact-spyware-discovered-targeting-android-and-ios-users/

https://blog.lookout.com/lookout-discovers-new-spyware-goontact-used-by-sextortionists-for-blackmail