Home > 전체기사
코로나를 테마로 한 감시 및 정찰 공격, 리비아 노린다
  |  입력 : 2020-03-20 10:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안드로이드 생태계에서 발견된 공격...코로나 라이브 1.1이라는 이름으로 퍼져
실제 코로나 추적 앱 본떠서 만든 가짜 앱...리비아 지역 사람들 추적하고 있어


[보안뉴스 문가용 기자] 코로나 바이러스를 테마로 한 각종 사이버 공격이 병원균만큼이나 빠르게 창궐하고 있는 상황이다. 최근에는 안드로이드 환경에서 코로나를 미끼 삼아 사용자 감시 및 추적을 하는 공격 캠페인이 발견되기도 했다. 공격 표적들은 주로 리비아 사람들이라고 한다.

[이미지 = iclickart]


지역을 불문하고 상당히 많은 사람들이 코로나 바이러스에 대한 정보를 검색하고, 확진자나 사망자 수를 확인하고 있으며, 이런 상황을 사이버 범죄자들이 적극 악용하고 있다. 코로나에 대한 궁금증이 공격자들의 무기가 되고 있는 것이다. 그런 와중에 “리비아인들을 겨냥한 안드로이드 캠페인이 발견돼 관심을 끌고 있다”고 보안 업체 룩아웃(Lookout)이 발표했다.

이 캠페인에서 공격자들은 ‘코로나 라이브 1.1(Corona Live 1.1)’이라는 이름의 애플리케이션들을 활용해 사용자들을 꼬드긴다. 존스홉킨스 대학에서 개발한 코로나 바이러스 추적 앱인 ‘코로나 라이브’를 흉내 낸 것이다. 코로나 라이브 1.1은 일종의 트로이목마로 분류된다고 룩아웃은 설명한다.

사용자가 코로나 라이브 1.1을 설치할 경우, 앱은 사진, 미디어, 파일, 장비 위치, 사진 촬영, 영상 기록에 대한 권한을 요청한다. 정찰 활동을 하기에 좋은 기능들을 전부 요구하는 것이다. 룩아웃이 분석했을 때 이 앱은 감시용 소프트웨어인 스파이맥스(SpyMax)를 개보한 것으로 나타났다. 스파이맥스는 스파이노트(SpyNote)라는 앱을 만든 자들의 또 다른 작품으로 알려져 있다. 또한 편리한 인터페이스를 가지고 있어 범죄자들 사이에서 인기가 높다.

코로나 라이브 1.1은 C&C 데이터를 resources/values/strings에 저장하고 있다. 이는 스파이맥스와 스파이노트에서 공통으로 나타나는 특징이다. 이 C&C 정보를 가지고 룩아웃은 추적을 실시했고, 약 30개의 APK를 추가로 발견할 수 있었다. 전부 감시와 추적을 목적으로 한 캠페인에 사용되는 것들이었고, 최소 2019년 4월부터 사용되어 왔다. 대부분 스파이맥스, 스파이노트, 소닉스파이(SonicSpy), 샌드로랫(SandroRat), 모비혹(Mobihok)이라는 감시 툴들과 연관성이 있었다.

스파이맥스와 스파이노트의 변종으로 밝혀진 APK는 앞서 설명했듯 코로나 바이러스를 테마로 사람들을 속이고 있다. 나머지 세 APK는 ‘리비아 모바일 룩업(Libya Mobile Lookup)’이라는 이름을 전면에 가지고 있었다. 스파이맥스나 스파이노트보다 먼저 사용된 것으로 보인다.

이 때문에 룩아웃의 전문가들은 이번에 발견된 캠페인이 코로나를 테마로 하고는 있지만 리비아나 근처 지역에만 국한되어 있을 가능성이 높다고 보고 있다. 따라서 특정 국가나 정부 기관의 표적 공격일 가능성이 높지만, 이를 뒷받침할 증거가 아직은 나오지 않고 있는 상황이다. 스파이맥스 등의 감시 도구들은 이전부터 정부 기관이 주로 사용해온 것으로 알려져 있기도 하다.

룩아웃은 “스파이맥스는 상업용 소프트웨어라 누구나 돈만 내면 구할 수 있으며, 개조와 조작이 어렵지도 않다”고 설명한다. 심지어 가격이 높다고 볼 수도 없으며, 애플리케이션 설치와 사용에 관한 지원도 충분히 이뤄지고 있다. 따라서 누가 가져다가 조작을 했어도 이상할 것이 없는 제품이라는 것이다.

“비상 사태라 대다수의 사람들이 특정 정보를 공통적으로 찾아 헤맬 때 이를 악의적으로 활용하려는 시도는 언제 어디서나 반드시 나타납니다. 더군다나 스파이웨어나 멀웨어를 마음만 먹으면 쉽게 구할 수 있도록 시장이 형성되어 있다는 것도 장기적으로 큰 문제입니다. 심지어 각 도구들의 사용성과 고객 지원 서비스도 향상되고 있죠. 코로나 사태가 종료된다고 하더라도 이런 식의 사이버 공격은 또 다른 이슈를 타고 찾아올 겁니다.” 룩아웃의 결론이다.

3줄 요약
1. 안드로이드 생태계에서 리비아인들을 감시하는 캠페인 발견됨.
2. 최소 지난 4월부터 시작됐으며, 최근에는 코로나를 테마로 삼고 있음.
3. 배후 세력은 국가 기관일 거 같지만 물증이 부족해 결론을 내리기 힘든 상황.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)