ESET의 연구원 Lukas Stefanko는 중국의 해킹 그룹 GREF가 Signal과 Telegram 앱을 변조하여 BadBazaar 스파이웨어를 포함시키고 Google Play와 Samsung Galaxy Store에 업로드한 사실을 발견하였습니다. 이번 공격 대상은 중국 내 소수민족이 아닌, 우크라이나, 폴란드, 네덜란드, 스페인, 포르투갈, 독일, 홍콩, 그리고 미국의 사용자들이었습니다. BadBazaar는 기기의 정확한 위치를 추적하고, 통화 내역과 문자 메시지를 도용하며, 통화를 녹음하고, 카메라를 이용해 사진을 찍는 등의 기능을 가지고 있습니다.
GREF가 이용한 두 가지 앱 'Signal Plus Messenger'와 'FlyGram'는 인기 있는 오픈소스 IM 앱인 Signal과 Telegram의 패치 버전입니다. 공격자들은 이 악성 소프트웨어 캠페인에 정당성을 부여하기 위해 특별히 "signalplus[.]org"과 "flygram[.]org"라는 웹사이트를 세워 Google Play에서 앱을 설치하거나 직접 사이트에서 설치하도록 링크를 제공하였습니다. 이를 통해 공격자들은 피해자의 Signal 계정에 대한 채팅 메시지를 볼 수 있습니다.
안드로이드 사용자들에게는 Signal과 Telegram의 원본 버전을 사용하고, 공식 앱 스토어에서 사용할 수 있는 개선된 개인 정보 보호나 추가 기능을 약속하는 포크 앱 다운로드를 하지 않는 것을 권장합니다.
요약
- 중국 해킹 그룹 GREF가 스파이웨어 BadBazaar를 포함한 변조된 Signal과 Telegram 앱을 Google Play와 Samsung Galaxy Store에 업로드하였다.
- 이번 공격 대상은 중국 내 소수민족이 아닌, 우크라이나, 폴란드 등 여러 국가의 사용자들이었다.
- BadBazaar 스파이웨어는 기기의 위치 추적, 통화 내역 및 문자 메시지 도용, 통화 녹음, 사진 촬영 등의 기능을 가지고 있다.
- GREF가 이용한 'Signal Plus Messenger'와 'FlyGram'은 Signal과 Telegram의 패치 버전으로, 이를 통해 공격자들은 피해자의 Signal 계정에 대한 미래의 채팅 메시지를 볼 수 있다.
- 안드로이드 사용자들에게는 Signal과 Telegram의 원본 앱을 사용하고 포크 앱 다운로드를 피하도록 권장되고 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.