2018.01.25

맥아피, 카카오톡과 페이스북 통한 스파이웨어 공격 분석 자료 발표

편집부 | CIO KR
맥아피가 최근 채팅 앱인 카카오톡과 페이스북을 이용해 직접 표적에게 접근하고 스파이웨어를 심는 고도의 표적 공격을 분석한 자료를 공개했다.

맥아피의 모바일 리서치 팀에 따르면 이번 공격은 구글의 단축 URL을 활용해 악성 앱 다운로드를 유도했다. 해당 악성 앱은 ‘북한 기도(Pray for North Korea)’와 ‘블러드 어시스턴트(BloodAssistant)’로 확인됐다. 둘 다 대부분의 클릭이 국내에서 발생했으며, 가장 많이 사용된 브라우저 및 운영 체제 조합은 크롬과 윈도우였고 안드로이드는 두 번째로 많았다고 밝혔다.



현재까지 정확한 배후는 알려져 있지 않지만 클라우드에서 삭제된 폴더 목록에 ‘썬 팀 폴더(sun Team Folder)’라는 이름을 남겼기 때문에 동일한 이름을 사용하는 공격자로 추정되고 있다. 이 조직은 클라우드 스토리지 생성일을 기준으로 2016년부터 활동하고 있는 것으로 예상된다. 한국의 유명 드라마 ‘태양의 후예’ ‘그들이 사는 세상’의 주인공 이름을 클라우드 서비스 연결 계정으로 사용한 것으로 미루어 짐작해 한국에 대해 잘 알고 있거나 연관이 깊은 조직으로 보이며, 탈북자 및 탈북자를 돕는 단체와 개인 등의 감시 목적을 갖고 있는 것으로 추측되고 있다.



맥아피가 분석한 자료에 따르면 이번 악성 APK 파일(추가 변종 포함)들은 피해자의 디바이스에 트로이 목마를 설치한다. 이를 실행 시 디바이스 감염 여부를 확인하며, 감염되지 않은 경우 피해자를 피싱해 접근성 권한을 확보하는 형태로 작동한다. 앱 실행 후 나타나는 팝업 창을 사용자가 클릭하면 앱 권한 확보를 위해 접근성 권한 설정 메뉴로 화면이 변경된다. 이후 동영상 재생 등의 방법으로 화면을 오버레이 해 자신들에게 필요한 설정을 활성화하고, 트로이 목마 설치 과정은 철저히 숨긴다. 트로이 목마가 설치가 완료되면 오버레이는 사라진다. 설치된 트로이 목마는 드롭박스(Dropbox)와 얀덱스(Yandex)를 제어 서버로 이용해 디바이스 제어를 위한 명령 및 기타 데이터를 포함한 파일을 다운로드한다. 수집된 정보들은 임시 폴더에 저장된 후 클라우드에 업로드 된다.

맥아피는 구글 드라이브에서 발견한 APK들의 변종들도 발견했다. 구글 드라이브에서 발견한 최초 APK들은 현재 악성 코드로 분류됐기 때문에 다운로드할 수 없으며, 일부 변종은 다른 클라우드 서비스를 제어하는 서버로 사용되거나, 통화 녹음 앱인 ‘com.toh.callrecord’(assets/bbb)를 드롭하는 형태로 존재하는 것으로 밝혀졌다. 초기 발견한 악성 APK는 동일한 계정에 의해 구글 드라이브에 업로드됐으며, 맥아피는 이와 연결된 소셜 네트워크 계정을 찾아냈다. 이 계정을 추적한 결과 피해자에게 악성 APK 파일을 다운로드하는 단축 URL을 보내는 데 같은 계정이 사용됐다는 것을 알아냈다.

이 클라우드 서비스 연결 계정에는 한국의 엔터테인먼트 콘텐츠와 관련된 이름이 사용됐고, 흥미롭게도 ‘피형’이라는 단어가 발견됬다. ‘피형’이라는 단어는 북한에서 ‘혈액형’을 의미하는 말이다. 또한 악성 코드 유포에 사용된 계정과 연결된 일부 안드로이드 디바이스의 테스트 로그 파일에서 북한 IP 주소도 발견됐다. 그러나 이 IP는 Wi-Fi가 켜져 있을 때 주소인 것으로 확인됐기 때문에 개인 IP 주소일 가능성도 배제할 수 없다. 따라서 공격자의 국적이 어디인지 단정지을 수는 없지만 한국에 대해 아주 잘 알고 있으며, 탈북자 및 탈북자를 돕는 단체와 개인 감시의 목적을 갖고 있을 것이라고 추정된다.

맥아피의 모바일 시큐리티는 이번 악성 코드를 Android/HiddenApp.BP로 탐지해 차단했다.

맥아피 코리아의 송한진 지사장은 “맥아피가 분석한 자료에 따르면 이번 멀웨어는 종교나 헬스케어 관련 콘텐츠로 위장해 사람들의 경계를 무력화 시키는 형태로 공격이 이루어진 것으로 분석됐다”며 “변종을 통해 빠르게 진화하는 공격에 대비하기 위해서는 항상 모바일 보안 애플리케이션을 최신 버전으로 업데이트하고, 출처가 확인되지 않은 모바일 앱은 절대 설치하면 안된다”고 말했다. ciokr@idg.co.kr



2018.01.25

맥아피, 카카오톡과 페이스북 통한 스파이웨어 공격 분석 자료 발표

편집부 | CIO KR
맥아피가 최근 채팅 앱인 카카오톡과 페이스북을 이용해 직접 표적에게 접근하고 스파이웨어를 심는 고도의 표적 공격을 분석한 자료를 공개했다.

맥아피의 모바일 리서치 팀에 따르면 이번 공격은 구글의 단축 URL을 활용해 악성 앱 다운로드를 유도했다. 해당 악성 앱은 ‘북한 기도(Pray for North Korea)’와 ‘블러드 어시스턴트(BloodAssistant)’로 확인됐다. 둘 다 대부분의 클릭이 국내에서 발생했으며, 가장 많이 사용된 브라우저 및 운영 체제 조합은 크롬과 윈도우였고 안드로이드는 두 번째로 많았다고 밝혔다.



현재까지 정확한 배후는 알려져 있지 않지만 클라우드에서 삭제된 폴더 목록에 ‘썬 팀 폴더(sun Team Folder)’라는 이름을 남겼기 때문에 동일한 이름을 사용하는 공격자로 추정되고 있다. 이 조직은 클라우드 스토리지 생성일을 기준으로 2016년부터 활동하고 있는 것으로 예상된다. 한국의 유명 드라마 ‘태양의 후예’ ‘그들이 사는 세상’의 주인공 이름을 클라우드 서비스 연결 계정으로 사용한 것으로 미루어 짐작해 한국에 대해 잘 알고 있거나 연관이 깊은 조직으로 보이며, 탈북자 및 탈북자를 돕는 단체와 개인 등의 감시 목적을 갖고 있는 것으로 추측되고 있다.



맥아피가 분석한 자료에 따르면 이번 악성 APK 파일(추가 변종 포함)들은 피해자의 디바이스에 트로이 목마를 설치한다. 이를 실행 시 디바이스 감염 여부를 확인하며, 감염되지 않은 경우 피해자를 피싱해 접근성 권한을 확보하는 형태로 작동한다. 앱 실행 후 나타나는 팝업 창을 사용자가 클릭하면 앱 권한 확보를 위해 접근성 권한 설정 메뉴로 화면이 변경된다. 이후 동영상 재생 등의 방법으로 화면을 오버레이 해 자신들에게 필요한 설정을 활성화하고, 트로이 목마 설치 과정은 철저히 숨긴다. 트로이 목마가 설치가 완료되면 오버레이는 사라진다. 설치된 트로이 목마는 드롭박스(Dropbox)와 얀덱스(Yandex)를 제어 서버로 이용해 디바이스 제어를 위한 명령 및 기타 데이터를 포함한 파일을 다운로드한다. 수집된 정보들은 임시 폴더에 저장된 후 클라우드에 업로드 된다.

맥아피는 구글 드라이브에서 발견한 APK들의 변종들도 발견했다. 구글 드라이브에서 발견한 최초 APK들은 현재 악성 코드로 분류됐기 때문에 다운로드할 수 없으며, 일부 변종은 다른 클라우드 서비스를 제어하는 서버로 사용되거나, 통화 녹음 앱인 ‘com.toh.callrecord’(assets/bbb)를 드롭하는 형태로 존재하는 것으로 밝혀졌다. 초기 발견한 악성 APK는 동일한 계정에 의해 구글 드라이브에 업로드됐으며, 맥아피는 이와 연결된 소셜 네트워크 계정을 찾아냈다. 이 계정을 추적한 결과 피해자에게 악성 APK 파일을 다운로드하는 단축 URL을 보내는 데 같은 계정이 사용됐다는 것을 알아냈다.

이 클라우드 서비스 연결 계정에는 한국의 엔터테인먼트 콘텐츠와 관련된 이름이 사용됐고, 흥미롭게도 ‘피형’이라는 단어가 발견됬다. ‘피형’이라는 단어는 북한에서 ‘혈액형’을 의미하는 말이다. 또한 악성 코드 유포에 사용된 계정과 연결된 일부 안드로이드 디바이스의 테스트 로그 파일에서 북한 IP 주소도 발견됐다. 그러나 이 IP는 Wi-Fi가 켜져 있을 때 주소인 것으로 확인됐기 때문에 개인 IP 주소일 가능성도 배제할 수 없다. 따라서 공격자의 국적이 어디인지 단정지을 수는 없지만 한국에 대해 아주 잘 알고 있으며, 탈북자 및 탈북자를 돕는 단체와 개인 감시의 목적을 갖고 있을 것이라고 추정된다.

맥아피의 모바일 시큐리티는 이번 악성 코드를 Android/HiddenApp.BP로 탐지해 차단했다.

맥아피 코리아의 송한진 지사장은 “맥아피가 분석한 자료에 따르면 이번 멀웨어는 종교나 헬스케어 관련 콘텐츠로 위장해 사람들의 경계를 무력화 시키는 형태로 공격이 이루어진 것으로 분석됐다”며 “변종을 통해 빠르게 진화하는 공격에 대비하기 위해서는 항상 모바일 보안 애플리케이션을 최신 버전으로 업데이트하고, 출처가 확인되지 않은 모바일 앱은 절대 설치하면 안된다”고 말했다. ciokr@idg.co.kr

X