한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
홈페이지Google Play의 트로이 목마에 감염된 Signal 및 Telegram 앱이 스파이웨어를 전달했습니다.
BadBazaar 스파이웨어가 포함된 트로이 목마화된 Signal 및 Telegram 앱은 GREF로 알려진 중국 APT 해킹 그룹에 의해 Google Play 및 Samsung Galaxy Store에 업로드되었습니다.
이 악성코드는 이전에 중국의 소수민족을 표적으로 삼는 데 사용되었지만 ESET의 원격 분석에 따르면 이번에는 공격자가 우크라이나, 폴란드, 네덜란드, 스페인, 포르투갈, 독일, 홍콩 및 미국의 사용자를 표적으로 삼는 것으로 나타났습니다.
BadBazaar의 기능에는 장치의 정확한 위치 추적, 통화 기록 및 SMS 도용, 전화 통화 녹음, 카메라를 사용하여 사진 촬영, 연락처 목록 유출, 파일 또는 데이터베이스 도용 등이 포함됩니다.
BadBazaar 코드가 포함된 트로이 목마 앱은 ESET의 연구원인 Lukas Stefanko에 의해 발견되었습니다.
캠페인에 사용된 GREF의 두 가지 앱은 '시그널 플러스 메신저(Signal Plus Messenger)'와 '플라이그램(FlyGram)'으로, 둘 다 인기 오픈소스 IM 앱인 시그널(Signal)과 텔레그램(Telegram)의 패치 버전이다.
또한 위협 행위자들은 악성 코드 캠페인에 합법성을 추가하기 위해 "signalplus[.]org" 및 "flygram[.]org"에 전용 웹사이트를 설정하고 Google Play에서 앱을 설치하거나 사이트에서 직접 앱을 설치할 수 있는 링크를 제공합니다.
ESET의 보고에 따르면 FlyGram은 연락처 목록, 통화 기록, Google 계정, Wi-Fi 데이터와 같은 민감한 데이터를 표적으로 삼으며 Telegram 통신 데이터를 공격자가 제어하는 서버로 전송하는 위험한 백업 기능도 제공합니다.
사용 가능한 데이터를 분석한 결과 최소 13,953명의 FlyGram 사용자가 이 백업 기능을 활성화했지만 스파이웨어 앱의 전체 사용자 수는 정의되지 않았습니다.
Signal 클론은 유사한 정보를 수집하지만 피해자의 통신 및 무단 액세스로부터 계정을 보호하는 PIN과 같은 Signal 관련 정보를 추출하는 데 더 중점을 둡니다.
그러나 가짜 Signal 앱에는 공격자가 피해자의 Signal 계정을 공격자가 제어하는 장치에 연결하여 공격자가 향후 채팅 메시지를 볼 수 있도록 함으로써 공격을 더욱 흥미롭게 만드는 기능이 포함되어 있습니다.
Signal에는 여러 장치를 단일 계정에 연결하여 모든 장치에서 채팅 메시지를 볼 수 있게 해주는 QR 코드 기반 기능이 포함되어 있습니다.
악성 Signal Plus 메신저는 QR 코드 연결 프로세스를 우회하고 피해자가 모르는 사이에 자신의 장치를 피해자의 Signal 계정에 자동으로 연결하여 이 기능을 악용합니다. 이를 통해 공격자는 Signal 계정에서 전송되는 모든 향후 메시지를 모니터링할 수 있습니다.
ESET은 “스파이 활동을 담당하는 악성 코드인 BadBazaar는 C&C 서버에서 필요한 URI를 수신하고 장치 연결 버튼을 클릭할 때 필요한 작업을 직접 실행함으로써 일반적인 QR 코드 스캔 및 사용자 클릭 프로세스를 우회합니다.”라고 설명합니다.
"이를 통해 악성 코드는 피해자의 스마트폰을 공격자의 장치에 비밀리에 연결하여 그림 12에 표시된 것처럼 피해자가 모르는 사이에 Signal 통신을 감시할 수 있습니다."
ESET은 Signal을 감시하는 이 방법이 Signal 메시지의 내용을 얻는 유일한 방법이기 때문에 이전에 사용되었다고 말합니다.
악성 장치가 Signal 계정에 연결되어 있는지 확인하려면 실제 Signal 앱을 실행하고 설정으로 이동한 다음 "연결된 장치" 옵션을 탭하여 연결된 모든 장치를 보고 관리하세요.
FlyGram은 2020년 7월 Google Play에 업로드되었으며, 2021년 1월 6일에 삭제되어 해당 채널을 통해 총 5,000건의 설치를 기록했습니다.
시그널 플러스 메신저는 2022년 7월 구글 플레이와 삼성 갤럭시 스토어에 업로드됐고, 구글은 2023년 5월 23일 이를 삭제했다.
이 글을 쓰는 시점에서 BleepingComputer는 두 앱 모두 Samsung Galaxy Store에서 여전히 사용할 수 있음을 확인했습니다.
Android 사용자는 Signal 및 Telegram의 원본 버전을 사용하고 공식 앱 스토어에서 제공되는 경우에도 향상된 개인 정보 보호 또는 추가 기능을 약속하는 포크 앱을 다운로드하지 않는 것이 좋습니다.
Google Play에서 150만 건의 설치가 이루어진 앱이 사용자의 데이터를 중국으로 보냅니다.
새로운 Android MMRat 악성 코드는 Protobuf 프로토콜을 사용하여 데이터를 훔칩니다.