북한 스파이웨어 KoSpy가 가짜 앱을 통해 안드로이드 사용자를 목표로 삼습니다

사이버보안 회사 룩아웃의 연구원들이 새로운 안드로이드 스파이웨어, KoSpy를 발견했습니다. 이 스파이웨어는 북한 해킹 그룹 APT37, 또는 ScarCruft로 알려져 있습니다.

해당 악성 소프트웨어는 2022년 3월에 처음 발견되었으며, 현재도 활성화된 상태이며 ‘파일 관리자’, ‘소프트웨어 업데이트 유틸리티’, ‘카카오 보안’ 등의 가짜 유틸리티 앱에 내장되어 있습니다. 이러한 앱들은 이전에 구글 플레이와 Apkpure와 같은 타사 스토어에서 이용 가능했으며, 한국어 및 영어 사용자를 대상으로 설계되었습니다.

KoSpy는 텍스트 메시지, 통화 기록, 위치 데이터, 파일, 오디오 녹음, 스크린샷 등 다양한 민감한 정보를 수집합니다.

이 스파이웨어는 두 단계의 명령 및 제어 (C2) 시스템을 사용하여 작동합니다. 먼저 Firebase 클라우드 데이터베이스에서 구성을 검색한 후 원격 서버와의 통신을 설정합니다. 이 설정은 공격자가 필요에 따라 서버를 변경하거나 악성 소프트웨어를 비활성화 할 수 있게 합니다.

Google은 Play Store에서 알려진 모든 악성 앱을 제거했습니다. 한 대변인은 “Google Play Protect는 Google Play 서비스가 있는 기기에서 알려진 이 맬웨어 버전으로부터 Android 사용자를 자동으로 보호합니다, 앱이 Play 외부의 소스에서 왔을 때조차도,”라고 The Record에서 보도했습니다.

KoSpy는 또한 북한 국가 지원 해킹 그룹인 APT43과 인프라를 공유하는데, 이 그룹은 민감한 데이터를 훔치기 위해 맬웨어를 배포하는 스피어피싱 캠페인으로 알려져 있습니다. 이 인프라의 중첩은 정확한 귀속을 어렵게 만들지만, Lookout 연구원들은 KoSpy를 APT37과 중간 정도의 확신으로 연결시킵니다.

ScarCruft는 2012년부터 사이버 스파이 활동을 진행해 왔으며, 주로 대한민국을 대상으로 하지만 일본, 베트남, 러시아, 네팔, 중국, 인도, 루마니아, 쿠웨이트, 중동까지 그 활동 영역을 확장하였습니다. 이 그룹은 미디어 기관과 고위 학계 인사에 대한 공격, 그리고 동남아시아에서의 악성 소프트웨어 작업과 연결되어 있습니다.

비록 KoSpy는 더 이상 구글 플레이 스토어에서 이용할 수 없지만, 연구자들은 사용자들이 의심스러운 앱, 특히 과도한 허가를 요구하는 앱에 대해 조심해야 한다고 경고하고 있습니다. 기기를 최신 상태로 유지하고, Google Play Protect와 같은 보안 기능을 갖춘 공식 앱 스토어를 이용하는 것이 위험을 줄이는 데 도움이 될 수 있습니다.