인도의 APT 해킹 그룹 '바하무트'가 가짜 안드로이드 앱 'SafeChat'을 이용해 스파이웨어를 공격하는 것이 발견되었습니다. 이 스파이웨어는 전화 통화 기록, 메시지, GPS 위치 등을 훔치는데, 대상은 주로 텔레그램, 시그널, 왓츠앱, 바이버, 페이스북 메신저 같은 통신 앱을 사용하는 사용자들입니다.
'SafeChat'은 스파이웨어를 숨기기 위해 실제 채팅 앱과 흡사한 인터페이스를 사용하고, 사용자 등록 과정도 있습니다. 또한 이 앱은 접근성 서비스의 권한을 획득하는 것이 중요한 감염 단계로, 이 권한을 악용해 스파이웨어에 더 많은 권한을 부여합니다. 이를 통해 스파이웨어는 연락처 목록, 메시지, 전화 기록, 외부 장치 저장소에 접근하거나 감염된 장치로부터 정확한 GPS 위치 데이터를 가져올 수 있습니다.
CYFIRMA에 따르면, 바하무트 그룹은 특정 인도 주 정부를 위해 작업하고 있다고 밝혔습니다. 또한 DoNot APT 그룹과 동일한 인증 기관을 사용하고, 비슷한 데이터 절도 방법론을 사용하며, 안드로이드 앱을 이용하여 목표를 감염시키는 등의 행동 패턴이 일치한다고 밝혔습니다. 이를 통해 두 그룹 사이에 중복 또는 긴밀한 협력이 있음을 암시했습니다.
요약
- 인도의 APT 해킹 그룹 '바하무트'가 가짜 안드로이드 앱 'SafeChat'을 이용해 스파이웨어를 공격한다.
- 사용자는 'SafeChat'이 실제 채팅 앱처럼 보이게 하는 인터페이스를 가지고, 실제 사용자 등록 프로세스를 통해 스파이웨어를 숨긴다.
- 바하무트 그룹은 특정 인도 주 정부를 위해 일하고 있으며, DoNot APT 그룹과 유사한 작업 방법을 사용하고 있다.
Reference
*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.