2024-03-29 07:30 (금)
사용자 감시하고 도난당한 데이터 유출하는 채팅 앱 발견
상태바
사용자 감시하고 도난당한 데이터 유출하는 채팅 앱 발견
  • 길민권 기자
  • 승인 2020.07.21 16:08
이 기사를 공유합니다

기능 이상의 사용 권한 필요한 앱 의심, 평판 좋은 보안 앱 실행해야

ESET(이셋)의 국내 법인 이셋코리아는 중동 지역에서 장기적으로 진행되고 있는 사이버 스파이 활동을 발견했으며, 이는 Gaza Hackers 또는 Molerats로 알려진 위협 행위 그룹과 관련이 있는 것으로 보인다고 밝혔다.

이 활동에 중요한 요소는 Welcome Chat이라는 Android 앱인데, 이것은 약속된 채팅 기능을 제공하는 동시에 스파이웨어 역할을 한다. 이 앱을 홍보하고 배포하는 악성 웹 사이트는 Google Play 스토어에서 사용할 수 있는 안전한 채팅 플랫폼을 제공한다고 주장한다.

ESET 연구진에 따르면 이 주장은 모두 거짓이다.

Welcome Chat의 분석을 수행한 ESET 연구원 Lukáš Štefanko는 “Welcome Chat은 스파이 도구일 뿐 아니라 이 앱의 운영자들은 피해자가 수집한 데이터를 인터넷에서 자유롭게 이용할 수 있도록 남겨 두었다. 그리고 이 앱은 공식 Android 앱 스토어에서 절대 사용할 수 없었다”라고 말했다.

Welcome Chat 앱은 Google Play 외부에서 다운로드한 채팅 앱처럼 동작한다. 이 앱을 설치하려면 “알 수 없는 출처의 앱 설치 허용” 설정을 활성화해야 한다. 설치 후 SMS 메시지 전송 및 보기, 파일 액세스 및 오디오 녹음 권한과 연락처 액세스 및 장치 위치 권한을 요청한다. 사용 권한을 받은 직후 Welcome Chat은 C&C(명령 및 제어) 서버에서 명령을 받기 시작하고 수집된 정보를 업로드하며 채팅 메시지 외에도 이 앱은 SMS 메시지 송수신, 통화 내역, 연락처 목록, 사진, 전화 통화 녹음, 장치의 GPS 위치 등의 정보를 훔친다.

Štefanko는 “피해자들에게는 불행하게도 해당 인프라를 포함한 Welcome Chat 앱은 보안을 염두에 두고 구축되지 않았다. 전송된 데이터는 암호화되지 않기 때문에 공격자만 아니라 동일한 네트워크에 있는 모든 사람도 자유롭게 액세스 할 수 있다”라고 말했다.

ESET 연구원들은 Welcome Chat이 정상적인 앱을 변조한 공격자 트로이 목마 버전인지, 아니면 처음부터 개발된 악성 앱인지 확인하려 했다.

Štefanko는 “우리는 개발자가 취약점을 인식할 수 있도록 이 앱의 정상적인 버전을 발견하기 위해 최선을 다했다. 그러나 그런 앱은 존재하지 않는 것 같다. 당연히, 우리는 스파이 활동의 배후에 있는 악의적 행위자에게 접근하려 하지 않았다”라고 말했다.

Welcome Chat 스파이웨어 앱은 매우 동일한 Android 맬웨어 군에 속하며 이전에 문서화 된 스파이 활동인 BadPatch와 인프라를 공유한다. 이 캠페인 역시 중동 지역을 대상으로 한다.

BadPatch는 Gaza Hackers, 일명 Molerats라고 불리는 위협 행위 그룹으로 알려져 있다. 이를 근거로 ESET 측은 이 사이버 스파이 활동이 동일한 위협 행위자들로부터 비롯되었다고 생각한다.

Welcome Chat 기반의 스파이 활동은 폭이 좁지만 ESET은 기존 보안 공급 업체나 유명 금융 기관의 웹사이트와 같이 신뢰할 수 있는 출처가 아닌 한 사용자가 공식 Google Play 스토어 외부에서 앱을 설치하는 것을 강력히 금지한다.

또한 사용자는 앱에 필요한 권한에 주의를 기울여야 하고, 기능 이상의 사용 권한이 필요한 앱을 의심해야 한다. 매우 기본적인 보안 수단으로서 사용자는 모바일 기기에서 평판이 좋은 보안 앱을 실행해야 한다.

★정보보안 대표 미디어 데일리시큐!★

◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-주 최: 데일리시큐 / 후 원: 보건복지부, 병원정보보안협의회 등
-일 시: 2020년 7월 30일(목) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭
-참가기업 문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★