사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 중동 지역에서 장기적으로 진행되고 있는 사이버 스파이 활동을 발견했으며 이는 Gaza Hackers 또는 Molerats로 알려진 위협 행위 그룹과 관련이 있는 것으로 보인다고 밝혔습니다.

 

이 활동에 중요한 요소는 Welcome Chat 이라는 Android 앱입니다. 이 것은 약속된 채팅 기능을 제공하는 동시에 스파이웨어 역할을 합니다. 이 앱을 홍보하고 배포하는 악성 웹 사이트는 Google Play 스토어에서 사용할 수 있는 안전한 채팅 플랫폼을 제공한다고 주장합니다. ESET 연구진에 따르면 이 주장은 모두 거짓입니다.

 

Welcome Chat의 분석을 수행한 ESET 연구원 Lukáš Štefanko,
“Welcome Chat
은 스파이 도구일 뿐 아니라 이 앱의 운영자들은 피해자가 수집한 데이터를 인터넷에서 자유롭게 이용할 수 있도록 남겨 두었습니다. 그리고 이 앱은 공식 Android 앱 스토어에서 절대 사용할 수 없었습니다.”
라고 설명했습니다.

 

Welcome Chat 앱은 Google Play 외부에서 다운로드한 채팅 앱처럼 동작합니다. 이 앱을 설치하려면 알 수 없는 출처의 앱 설치 허용설정을 활성화해야 합니다. 설치 후 SMS 메시지 전송 및 보기, 파일 액세스 및 오디오 녹음 권한과 연락처 액세스 및 장치 위치 권한을 요청합니다. 사용 권한을 받은 직후 Welcome Chat C&C(명령 및 제어) 서버에서 명령을 받기 시작하고 수집된 정보를 업로드합니다. 채팅 메시지 외에도 이 앱은 SMS 메시지 송수신, 통화 내역, 연락처 목록, 사진, 전화 통화 녹음, 장치의 GPS 위치 등의 정보를 훔칩니다. Štefanko, “피해자들에게는 불행하게도 해당 인프라를 포함한 Welcome Chat 앱은 보안을 염두에 두고 구축되지 않았습니다. 전송된 데이터는 암호화되지 않기 때문에 공격자 뿐만 아니라 동일한 네트워크에 있는 모든 사람도 자유롭게 액세스 할 수 있습니다.”라고 했습니다.

 

ESET 연구원들은 Welcome Chat이 정상적인 앱을 변조한 공격자 트로이 목마 버전인지, 아니면 처음부터 개발된 악성 앱인지 확인하려 했습니다.

 

우리는 개발자가 취약점을 인식할 수 있도록 이 앱의 정상적인 버전을 발견하기 위해 최선을 다했습니다. 그러나 그런 앱은 존재하지 않는 것 같습니다. 당연히, 우리는 스파이 활동의 ​​배후에 있는 악의적 행위자에게 접근하려 하지 않았습니다.”라고 Štefanko는 설명합니다.

 

Welcome Chat 스파이웨어 앱은 매우 동일한 Android 맬웨어 군에 속하며 이전에 문서화 된 스파이 활동인 BadPatch와 인프라를 공유합니다. 이 캠페인 역시 중동 지역을 대상으로 합니다. BadPatch Gaza Hackers, 일명 Molerats라고 불리는 위협 행위 그룹으로 알려져 있습니다. 이를 근거로 우리는 이 사이버 스파이 활동은 동일한 위협 행위자들로부터 비롯되었다고 생각합니다.

 

Welcome Chat 기반의 스파이 활동은 폭이 좁지만 ESET은 기존 보안 공급 업체나 유명 금융 기관의 웹 사이트와 같이 신뢰할 수 있는 출처가 아닌 한 사용자가 공식 Google Play 스토어 외부에서 앱을 설치하는 것을 강력히 금지합니다. 또한 사용자는 앱에 필요한 권한에 주의를 기울여야 하고 기능 이상의 사용 권한이 필요한 앱을 의심해야 합니다. 또한 매우 기본적인 보안 수단으로서 사용자는 모바일 기기에서 평판이 좋은 보안 앱을 실행해야 합니다.

 

자세한 내용은 WeLiveSecurity.com 블로그 게시물 Secure chat platform? Nothing could be further from the truth for Welcome Chat을 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 이창규 | 서울시 송파구 송파대로 167 테라타워1 A동 521호 | 사업자 등록번호 : 264-81-44862 | TEL : 02-567-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.

,