상세 컨텐츠

본문 제목

연구원들, Turla 해커와 관련된 C2 서버를 사용하는 새로운 안드로이드 스파이웨어 발견

국내외 보안동향

by 알약4 2022. 4. 5. 09:00

본문

Researchers Uncover New Android Spyware With C2 Server Linked to Turla Hackers

 

감염된 기기에 저장된 민감한 정보를 은밀히 빼돌리는 "프로세스 관리자" 서비스로 위장한 안드로이드 스파이웨어 앱이 발견되었습니다.

 

흥미롭게도, 패키지 이름이 "com.remote.app"인 이 앱은 이전에 러시아의 해킹 그룹인 Turla의 인프라로 식별된 원격 명령 및 제어 서버인 82.146.35[.]240에 연결합니다.

 

Lab52의 연구원들은 아래와 같이 설명했습니다.

 

"애플리케이션이 실행되면, 해당 애플리케이션에 부여된 권한에 대한 경고가 표시됩니다."

 

"해당 권한에는 화면 잠금 해제 시도, 화면 잠금, 장치 전역 프록시 설정, 화면 잠금 패스워드 만료 설정, 저장소 암호화 설정, 카메라 비활성화 등이 포함됩니다."

 

앱이 "활성화"되면, 악성코드는 홈 화면에서 기어 모양의 아이콘을 제거하고 백그라운드에서 실행되어 부여된 권한을 악용해 기기의 연락처 및 통화 기록에 접근하고, 위치를 추적하고, 메시지를 보내고 읽고, 외부 저장소에 접근하고, 사진을 찍고, 오디오를 녹음합니다.

 

 

<이미지 출처: https://lab52.io/blog/complete-dissection-of-an-apk-with-a-suspicious-c2-server/>

 

 

수집된 정보는 JSON 형식으로 캡쳐되어 앞서 언급한 원격 서버로 전송됩니다. 연구원들은 이 앱이 Turla C2 서버를 사용한 것은 맞지만 이 악성코드가 Turla 그룹의 작업인 것으로 확신할 수 있는 증거가 부족하다고 밝혔습니다.

 

또한 아직까지 해당 스파이웨어 배포에 사용된 정확한 초기 접근 벡터와 캠페인이 노리는 타깃도 알 수 없었스빈다.

 

하지만, 이 악성 안드로이드 앱은 합법적인 애플리케이션인 Roz Dhan을 다운로드하려고 시도합니다. 이 앱을 통해 사용자가 설문 조사를 완료할 경우 현금으로 보상을 받을 수 있습니다.

 

연구원들은 아래와 같이 밝혔습니다.

 

"이 애플리케이션은 구글 플레이에서 다운로드 가능하며 돈을 버는데 사용됩니다. 또한 이 앱의 추천 시스템은 악성코드에 의해 악용되고 있습니다.”

 

"공격자는 이 앱을 기기에 설치하여 수익을 올릴 수 있습니다.”

 

 

 

 

출처:

https://thehackernews.com/2022/04/researchers-uncover-new-android-spyware.html

https://lab52.io/blog/complete-dissection-of-an-apk-with-a-suspicious-c2-server/

 

관련글 더보기

댓글 영역