북한 정부 해커들이 안드로이드 앱 스토어에 스파이웨어를 살포했습니다

북한 정부와 관련이 있는 해커 그룹이 안드로이드 스파이웨어를 구글 플레이 앱 스토어에 업로드하고 일부 사람들을 속여 다운로드하게 했다고 사이버 보안 회사 Lookout이 밝혔습니다.

수요일에 발표된 보고서에서 Lookout은 'KoSpy'라는 안드로이드 스파이웨어의 여러 다른 샘플을 포함한 감시 캠페인에 대해 상세히 기술하였으며, 회사는 이를 '높은 신뢰도'로 북한 정부와 연결시켰습니다.

스파이웨어 앱 중 하나는 Google Play에 어느 순간 올라온 적이 있고 최소 10회 이상 다운로드되었다고 Lookout이 발표한 공식 안드로이드 앱 스토어의 캐시된 스냅샷에 나타났습니다. Lookout은 보고서에 해당 페이지의 스크린샷을 첨부했습니다.

지난 몇 년 동안 북한 해커들은 특히 최근 암호 화폐 거래소 바이바이트(BYBIT)에서 약 14억 달러를 도난당한 등 대담한 크립토 ​​도둑질로 헤드라인을 잡았습니다. 이번 새로운 스파이웨어 캠페인의 경우, Lookout이 확인한 스파이웨어 앱의 기능을 기반으로 감시 작전임을 시사하는 모든 흔적이 있습니다.

북한 스파이웨어 캠페인의 목표는 알려지지 않았지만 Lookout의 보안 정보 연구 담당 이사인 Christoph Hebeisen은 몇 번의 다운로드만을 감안할 때, 스파이웨어 앱은 특정 사람들을 대상으로 한 것으로 추정된다고 TechCrunch에 전했습니다.

Lookout에 따르면, KoSpy는 SMS 문자 메시지, 통화 기록, 장치 위치 데이터, 장치의 파일 및 폴더, 사용자 입력 키 스트로크, Wi-Fi 네트워크 세부 정보, 설치된 앱 목록 등과 같은 '매우 많은 민감한 정보'를 수집합니다.

KoSpy는 또한 오디오를 녹음하고 전화기 카메라로 사진을 찍으며 사용 중인 화면의 스크린샷을 캡처할 수 있습니다.

Lookout은 또한 KoSpy가 Google Cloud 인프라에 구축된 Firestore를 사용하여 '초기 설정'을 검색하는 데 의존한다는 것을 발견했습니다.

Google 대변인 Ed Fernandez는 Lookout이 보고서를 회사와 공유했으며 "모든 확인된 앱이 Play에서 제거되었으며 Firebase 프로젝트가 비활성화되었다"고 전했습니다. 여기에는 Google Play에 있었던 KoSpy 샘플도 포함됩니다.

“Google Play는 Android 기기에서 알려진 이 악성 코드 버전을 자동으로 방지합니다,” Fernandez가 말했습니다.

Google은 보고서에 대한 자세한 질문에 대한 답변으로 북한 정부의 소유라고 단언한 편에 동의하는지 여부 및 Lookout 보고서의 세부사항을 포함하여 Google와 동의하는지 여부에 대한 논평을 하지 않았습니다.

Lookout은 또한 일부 스파이웨어 앱을 제3자 앱 스토어 APKPure에서 발견했다고 보고서는 전했습니다. APKPure 대변인은 회사에서 Lookout으로부터 '이메일'을받지 않았다고 말했습니다.

스파이웨어 앱을 호스팅하던 Google Play 페이지에 나열된 개발자 이메일 주소를 통제하는 사람 또는 사람들은 TechCrunch의 의견 요청에 응하지 않았습니다.

Lookout의 Hebeisen과 고급 직원 안보 정보 연구원인 Alemdar Islamoglu는 누가 특정 대상이 되었는지에 대한 정보는 없지만 이 회사는 이것이 영어 또는 한국어로 말하는 한국 사람들을 대상으로 하는 매우 명확한 캠페인이었을 것이라고 확신하고 있습니다.

Lookout의 평가는 Lookout이 발견한 앱 이름에 기반한 것으로, 일부는 한국어로, 일부는 한국어로 된 앱 제목을 가지고 있으며 사용자 인터페이스가 두 언어를 지원한다는 것을 나타냅니다. 보고서에 따르면 스파이웨어 앱은 이전에 북한 정부 해킹 그룹 APT37 및 APT43이 사용한 멀웨어 및 수신 및 제어 인프라에 나타난 도메인 이름과 IP 주소를 사용했습니다.

“북한 위협 활동에 흥미로운 점은 공식 앱 스토어로 앱을 상대적으로 자주 성공적으로 올리는 것 같습니다.”라고 Hebeisen이 말했습니다.