2024-05-29 02:30 (수)
유튜브로 위장해 안드로이드 기기 해킹하는 'CapraRAT' 스파이웨어 주의
상태바
유튜브로 위장해 안드로이드 기기 해킹하는 'CapraRAT' 스파이웨어 주의
  • 길민권 기자
  • 승인 2023.09.20 14:43
이 기사를 공유합니다

파키스탄과 연계된 악명 높은 위협 그룹인 트랜스페어런트 트라이브(APT36 및 어스 카르카단으로도 알려져 있음)가 새로운 사이버 첩보 캠페인을 진행하고 있는 상황이다.

이들의 최신 전략은 로맨스를 주제로 한 콘텐츠로 피해자를 유인해 유튜브(YouTube)로 교묘하게 위장한 안드로이드 기반 스파이웨어를 배포함으로써 위협 행위자가 피해자의 안드로이드 디바이스를 제어할 수 있는 게이트웨이를 제공하고 있는 것으로 드러났다.

센티넬랩스 연구원들은, 트랜스페어런트 트라이브가 사용하는 원격 액세스 트로이 목마 CapraRAT과 관련된 세 가지 안드로이드 애플리케이션 패키지(APK)를 확인했다. 이 중 두 개의 APK는 사용자가 진짜 유튜브 앱으로 보이는 것을 다운로드하도록 유인 설계되었으며, 세 번째 APK는 로맨스 기반 소셜 엔지니어링을 활용하여 "Piya Sharma"라는 페르소나와 연결된 유튜브 채널을 통해 사용자의 참여를 유도한다고 설명했다.

이러한 악성 앱은 유튜브를 모방하고 있지만, 센티넬랩의 보안 연구원은 자신의 블로그 게시물에서 자세히 설명한 것처럼 합법적인 기본 안드로이드 유튜브 애플리케이션보다 기능이 적다.

트랜스페어런트 트라이브는 2013년부터 주로 인도와 파키스탄의 군인과 외교 요원을 대상으로 사이버 스파이 활동을 활발히 벌여 왔다. 최근에는 인도의 교육 부문을 표적으로 삼아 캠페인을 확장했으며, 코로나19 팬데믹을 최대한 활용해 원격 근무자를 대상으로 공격을 시작했다.

이 그룹은 일반적으로 안드로이드 기반 스파이웨어를 배포하며, 가짜 오피스 문서 뒤에 악성 페이로드를 숨기는 경우가 많다.

트렌드마이크로가 작년 초 명명한 ‘CapraRAT(카프라랫)’은 안드로이드 사용자를 대상으로 하는 최신 공격 도구로, 악성코드가 안드로이드 프레임워크로 위장하면서 다른 애플리케이션 내에 RAT(원격 액세스 트로이 목마) 기능을 숨기는 독특한 구조로 유명하다.

악성코드를 전파하기 위해 트랜스페어런트 트라이브는 자체적으로 운영하는 웹사이트를 통해 배포되는 안드로이드 앱을 이용하며, 사용자가 이러한 무기화된 애플리케이션을 설치하도록 유도하기 위해 소셜 엔지니어링 전술을 사용한다. 올해 초, 이전 캠페인에서 이 그룹은 데이트 서비스를 가장한 안드로이드 앱을 통해 카프라랫을 유포했는데, 이는 멀웨어를 유포하기 위해 널리 사용되는 유인 테마다.

이 그룹이 유튜브와 유사한 앱을 만들기로 결정한 것은 안드로이드 애플리케이션을 스파이웨어로 무기화하는 기존 트렌드에 새로운 것을 추가한 것이다. 로맨스 기반 사회 공학 기법을 지속적으로 사용하는 것은 감염률을 극대화하기 위해 이러한 애플리케이션을 설치하도록 표적을 조작하는 것이다.

CapraRAT은 설치와 동시에 사진 및 동영상 촬영을 위한 카메라 및 마이크 액세스 등 유튜브의 예상 기능과 일치하는 몇 가지 장치 권한을 요청한다. 그러나 이 멀웨어는 SMS 메시지 송수신 및 읽기 기능을 포함해 악의적인 의도를 드러내는 권한도 요구한다.

감염된 안드로이드 장비에 설치되면 계정 찾기, 연락처 목록에 대한 액세스, 장비의 SD 카드에서 콘텐츠를 읽거나 수정 또는 삭제하는 기능 등 다양한 기능을 사용할 수 있는 권한이 CapraRAT에 부여된다.

악성 앱이 실행되면 웹뷰를 사용해 유튜브 웹 사이트를 로드하지만, 안드로이드용 기본 유튜브 앱과는 다른 방식으로 모바일 웹 브라우저 환경과 비슷하게 표시된다.

센티넬랩스는 인도 또는 파키스탄의 외교, 군사 또는 활동가 문제와 관련된 개인 및 조직에 트랜스페어런트 트라이브의 잠재적 공격, 특히 유튜브를 사칭해 피해자를 유인하는 이번 최신 캠페인에 대해 각별한 주의를 기울일 것을 강력히 경고했다.

안드로이드 사용자는 공식 구글 플레이 스토어가 아닌 곳에서 안드로이드 애플리케이션 설치를 자제하고 소셜 미디어 커뮤니티에서 광고하는 새로운 소셜 미디어 애플리케이션을 다운로드하지 말아야 한다.

또한 사용자는 특히 새롭거나 잘 모르는 앱의 경우 애플리케이션에서 요청하는 권한을 꼼꼼하게 검토해 위험에 노출되지 않도록 주의해야 한다. 기기에 이미 설치된 타사 버전의 애플리케이션은 잠재적으로 보안 위험을 초래할 수 있으므로 절대로 설치하지 않는 것이 중요하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★