보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

하마스 운영 추정 아리드바이퍼 해킹그룹, 데이팅 앱 위장해 안드로이드폰 사용자 공격

입력 : 2023-11-12 21:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
정상 데이팅 앱과 유사...정보 탈취 및 악성코드 다운로드 등 수행

[보안뉴스 김영명 기자] 하마스가 운영하는 것으로 추정되는 아리드바이퍼(Arid Viper) 그룹이 안드로이드 스마트폰 사용자를 표적으로 하는 공격이 발견돼 해당 폰 사용자들의 주의가 필요하다. 시스코 탈로스(Cisco Talos) 팀에 따르면 이번 캠페인은 지난해 4월부터 등장한 것으로 전해진다. 정상의 데이팅 애플리케이션과 유사한 모습으로 위장해 정보를 탈취하고 악성코드를 다운로드하는 등의 행위를 수행한다.

▲‘Skipped Messenger’라는 이름의 앱 실행화면[자료=잉카인터넷]


잉카인터넷 측에 따르면, ‘Skipped’라는 이름으로 유포된 이 악성코드는 악성 동작을 수행하기 위해 다양한 권한을 획득한다. 단말기의 종류와 모델에 따라 일부 차이는 있지만, 기본적으로 접근성 권한과 알림 권한을 획득한다. 그리고 관리자 모드로 앱을 실행하도록 설정하고, 악성 동작의 지속성을 유지하기 위해 해당 앱의 배터리 최적화 설정을 강제로 취소한다.

▲접근성 권한 획득 화면 및 알림 권한 획득 화면(좌부터)[자료=잉카인터넷]


이 Skipped 악성코드는 일부 제조사 보안 패키지를 탐지한 후, 자동 실행 설정을 수행하기도 한다. 이밖에도 △업데이트로 위장해 악성 프로그램 다운로드 △원격지와 연결 및 추가 통신 △전·후면 카메라 촬영 및 저장 △오디오 녹음 및 저장 △연락처 이름 및 주소 탈취 △문자메시지 주소, 내용, 날짜 및 타입 탈취 △네트워크 타입, 이메일 주소 및 단말기 정보 탈취 △파일 복제 및 탈취 △설치된 애플리케이션 이름 및 버전 등 탈취 △Sim 카드 정보 탈취 △특정 확장자 및 디렉토리 삭제 △IP 및 MAC 주소 등 네트워크 탈취 △시스템 및 음악 음소거 △메시지 전송 등 다양한 악성 동작을 수행하는 것으로 알려졌다.

잉카인터넷 관계자는 “해당 앱은 수 개월간 발생한 API 공격으로 변종이 나타나거나 추가적인 악성 동작이 발생할 수 있으므로 큰 주의가 필요하다”고 밝혔다. 이어 “이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고, 주기적으로 백신을 최신 버전으로 업데이트하는 습관을 가져야 할 것”이라고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대