구글 플레이스토어에서 중동인 감시 위한 앱 두 개 발견

이스라엘 노렸던 멀웨어 바이퍼랫과 비슷한 멀웨어 등장
팔레스타인 인들 감시하는 데저트 스코피온

[보안뉴스 문가용 기자] 구글 플레이 스토어에서 감시 툴이 최근에만 두 개가 발견됐다. 둘 다 중동 지역의 조직들을 노린 것으로 분석됐다. 구글은 이 두 가지 앱을 스토어에서 삭제한 상태다.

[이미지 = iclickart]

이 두 가지 앱은 각각 바이퍼랫2.0(ViperRAT 2.0)과 데저트 스코피온(Desert Scorpion)이다. 악성 모바일 APT 공격을 감행하는 것으로서, 공식 구글 플레이 스토어에 이러한 종류의 앱이 등록된 것은 흔치 않은 일이다.

이를 발견한 건 보안 업체 룩아웃 시큐리티(Lookout Security)로, 바이퍼랫2.0은 “올해 초 발견된, 이스라엘의 국방 산업에 종사하는 개개인들을 표적으로 한 모바일 APT 공격과 매우 닮아있다”고 설명한다.

룩아웃 시큐리티가 말하는 건 바이퍼랫(ViperRAT)과 관련된 사건이다. 룩아웃 시큐리티가 올해 초에 발견한 멀웨어로, 이스라엘 국방부 요원들을 감시하기 위해 만들어진 것으로 분석된 바 있다. 또한 소셜 엔지니어링 공격을 통해 퍼져나가고 있었다. 공격자들은 아름다운 여성인 것처럼 위장해 표적들에 접근했고, 바이퍼랫을 심었다.

이번에 발견된 바이퍼랫2.0은 후속 버전으로 모바일 채팅 앱들 속에 섞여 피해자들의 기기에 설치됐다. “먼저는 보카챗(VokaChat)이라는 앱에서 발견됐습니다. 약 500~1000번 다운로드 된 앱이죠. 두 번째는 챗택(Chattak)이라는 앱이었고, 약 50~100번 다운로드 된 앱입니다.”

룩아웃은 “채팅과 관련된 기능들은 전부 다 갖추고 있어 피해자들이 의심하기 힘들었다”고 설명한다. 또한 “속이기 위한 기능이 이렇게 완벽하게 구현된 앱은 지난 번 바이퍼랫 공격에서는 발견된 바 없는 것”이라고 짚기도 했다. “채팅 앱들에는 구글이 개발자들에게 요구하는 프라이버시 성명서(privacy statement)도 들어 있었습니다. 이게 있어야 공식 스토어에 앱을 올릴 수 있거든요. C&C 인프라가 아직도 활성화되어 있기도 하고요.”

한편 데저트 스코피온의 경우 APT-C-23과 관련이 있는 것으로 분석되고 있다. 또한 프로즌셀(FrozenCell)이라는 스파이웨어와도 연관성이 있는데, 둘 다 팔레스타인을 겨냥한 공격에서 발견된 바 있는 것들이다. “데저트 스코피온도 모바일 메신저 앱에 섞여서 피해자의 기기에 설치됐습니다.”

공격자들은 피싱 캠페인을 주력으로 펼쳤으며, 이에 속은 피해자들은 악성 앱을 공식 스토어로부터 다운로드 받아 멀웨어를 설치하게 됐다. 피싱 캠페인은 주로 페이스북에서 발생했다고 한다. 룩아웃은 이 공격을 추적해 오래된 페이스북 프로파일 하나를 발견했다. 이 프로파일에는 다데시(Dardesh)라는 채팅 애플리케이션에 대한 소개가 나와 있었는데, 이 역시 악성 앱이었다.

“이번에 발견된 공격은 앱의 상태를 보면 상당히 고급화되어 있다는 걸 알 수 있습니다. 그렇지만 그 고급 앱을 퍼트리는 전략 자체는 여전히 피싱 혹은 소셜 엔지니어링이죠. 왜냐하면 피싱과 소셜 엔지니어링이 비용도 낮고 성공률은 높기 때문입니다. 피싱과 소셜 엔지니어링 공격은 기술이 아니라 사용자 인식으로 방어해야 한다는 걸 생각해보면 지금 보안 업계가 집중해야 할 것은 기술보다 사람임을 알 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)