베트남의 오션로터스, 5년 동안 플레이 스토어에 숨어 캠페인 실시

입력 : 2020-04-29 10:46

구글 플레이를 비롯해 각종 안드로이드 스토어에 최소 5년 동안 들키지 않고 숨어
동남아시아의 안드로이드 사용자가 주요 표적...정보 빼내고 추가 멀웨어 설치하고

[보안뉴스 문가용 기자] 베트남의 유명 해킹 단체인 오션로터스(OceanLotus)가 동남아시아 지역의 안드로이드 사용자들을 노린 표적 공격을 5년이나 실시해 온 사실이 드러났다. 5년 동안 안드로이드 마켓인 구글 플레이, APK퓨어(APKpure) 등의 보안 장치들을 피해왔다는 사실이 보안 업계를 경악케 하고 있다.


이러한 사실을 밝혀낸 건 보안 업체 카스퍼스키(Kaspersky)로, 오늘 보고서를 통해 이 캠페인, 팬텀랜스(PhantomLance)에 대해 상세히 공개했다. 카스퍼스키는 오션로터스가 배후에 있을 ‘가능성’을 지적하기는 했지만, 국가명을 언급하지는 않았다. 원래 카스퍼스키는 나라를 직접적으로 언급하는 걸 꺼려한다. 다만 보안 업계에서 오션로터스라고 하면 베트남 정부와 연관 짓는 게 보통이다.

카스퍼스키의 보안 전문가인 알렉시 퍼시(Alexey Firsh)는 “2019년 7월, 닥터웹(Dr.Web)에서 발간한 보고서에 등장하는 한 트로이목마 백도어를 더 깊이 파보기로 했다”며 “분석해 보니 최소 2015년 12월부터 활동을 한 것으로 보이는, 대단히 독특한 멀웨어였다”고 말한다. 최신 샘플을 추적하니 구글 플레이에 등록되어 있는 앱들에서 발견되기 시작했다. 2019년 11월에 등록된 앱에도 있었다. 주로 애드 블로커나 플래시 플러그인, 캐시 청소, 업데이터 등 유틸리티와 관련된 앱들이었다. 카스퍼스키는 이를 구글에 알렸고, 구글은 문제의 앱들을 삭제했다.

모바일 앱들이 구글 스토어 등 안드로이드 생태계에 나타나는 건 어제 오늘 일이 아니다. 하지만 팬텀랜스 캠페인에서 발견된 안드로이드 멀웨어는 기존 안드로이드 멀웨어들과 달리 고도로 표적화 되어 있었다.

팬텀랜스에 사용된 멀웨어의 경우, 피해자의 안드로이드 장비에 설치된 이후에는 위치, 전화 통화 목록, 연락처 정보, 문자 메시지, 장비 모델명, 설치된 OS와 앱 등과 같은 정보를 수집하는 것으로 분석됐다. “여기에 더해 특수한 셸 명령어들을 C&C 서버로부터 받아 실행하고, 추가 페이로드를 설치하는 기능도 가지고 있습니다.”

또한 공격자들은 멀웨어의 버전을 여러 가지로 만들고 샘플도 수십 개씩 마련했다. 구글 플레이 등 안드로이드용 앱 스토어에 자신들의 앱을 올릴 때, 처음에는 멀웨어가 하나도 없는 버전을 등록시키고, 나중에 업데이트를 통해 악성 기능을 조금씩 추가했다. 그러니 앱 등록 검사에 걸리지 않을 수 있었던 것이다. 현재까지 발견된 바, 2016년부터 인도, 베트남, 방글라데시, 인도네시아에서 300여 차례의 공격 시도가 있었다고 한다.

오션로터스는 APT32라고도 불리는 단체로, 주로 베트남 시민, 반체제 인사, 기자들을 겨냥해 각종 사이버 공격을 실시해왔다. 뿐만 아니라 독일, 중국, 필리핀, 미국, 영국의 산업들을 대상으로 스파이 및 정보 유출 공격을 진행하기도 했다. 베트남 정부의 지원을 받고 있는 것으로 여겨지며, 2014년에는 베트남에 생산 공장을 짓기로 했던 유럽의 기업을, 2016년에는 베트남에서 사업을 시작하려고 했던 한 환대업계 업체를 해킹하기도 했다.

공격자들의 교묘한 전략 중 하나는 깃허브에 가짜 개발자 프로파일을 만드는 것으로부터 시작하기도 한다. 일반적이며 정상적인 앱 개발자로 위장하기 위함이다. 카스퍼스키의 또 다른 보안 연구원인 레브 피크만(Lev Pikman)은 “피해자가 개발사나 개발자 등 앱의 배경을 조사할 때까지 대비한 움직임”이라고 설명한다.

또한 오션로터스는 공격을 실시할 때 암호화 키, 공격 인프라, 기법 등을 바꿔 추적을 어렵게 만들기도 했다고 카스퍼스키는 보고서를 통해 밝혔다. “자신들의 공격 행위를 감추는 데 꽤나 능숙한 모습을 보입니다. 보안에 강력한 단체라는 것이죠. 이렇게까지 교묘하고 철저하게 공격을 실시하면 개인으로서는 막을 방법이 그리 많지 않습니다. 그나마 모바일 보안 도구와 서비스를 설치하고, 앱을 조심스럽게 다운로드 받는 것이 최선입니다.”

이 내용은 카스퍼스키의 블로그(https://securelist.com/apt-phantomlance/96772/)를 통해 보다 상세히 공개되어 있다. 카스퍼스키의 CEO인 유진 카스퍼스키(Eugene Kaspersky)는 온라인 ‘보안 분석가 서밋(Security Analyst Summit)’을 통해 이 내용을 발표했으며, “코로나19로 근무 환경이 많이 바뀌고 경제가 악화되는 시절이라 사이버 공격자들이 활개칠 수밖에 없는 상황”이라고 경고하기도 했다. 실제 최근 수집되는 멀웨어 샘플의 수가 평상시보다 10%가량 늘었다고 덧붙이기도 했다.

3줄 요약
1. 베트남 정부 지원을 받는 것으로 보이는 해킹 단체, 지난 5년 동안 정찰 캠페인 진행.
2. 동남아시아의 안드로이드 사용자 겨냥한 공격, 구글 플레이 스토어도 탐지 못함.
3. 깃허브에 개발자 계정 가짜로 마련하는 등의 치밀한 ‘위장’ 덕분에 잘 숨을 수 있었음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 3

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 4

  2024년 가을, 정보보안 전문가 채용......

• 5

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...