안드로이드 스파이웨어 'KoSpy'는 북한의 위협 행위자들이 Google Play와 세 번째 앱 스토어 APKPure에 최소한 다섯 개의 악성 앱을 통해 침투한 것으로 연결되어 있습니다. Lookout 연구원들에 따르면, 이 스파이웨어는 북한의 위협 그룹 APT37(별칭 'ScarCruft')에게 귀속됩니다. 이 캠페인은 2022년 3월부터 활성화되어 있으며, 위협 행위자들은 새로운 샘플을 기반으로 악성 소프트웨어를 적극적으로 개발하고 있습니다. 스파이웨어 캠페인은 주로 파일 관리자, 보안 도구, 소프트웨어 업데이터로 위장하여 한국어와 영어 사용자를 대상으로 합니다. Lookout이 확인한 다섯 개의 앱은 휴대폰 관리자, File Manager, 스마트 관리자, 카카오 보안, Software Update Utility입니다.

악성 앱들은 약속된 기능의 일부를 제공하지만, 배경에서 KoSpy 스파이웨어를 로드합니다. 유일한 예외는 카카오 보안으로, 위험한 권한에 대한 접근을 요청하면서 가짜 시스템 창을 표시합니다. 이 캠페인은 북한 작전에 이전에 연결된 IP 주소, Konni 악성 소프트웨어 배포를 용이하게 하는 도메인, 그리고 APT43이라는 다른 북한 후원 위협 그룹과 겹치는 인프라를 기반으로 APT37에게 귀속되었습니다.

KoSpy가 장치에서 활성화되면, Firebase Firestore 데이터베이스에서 암호화된 구성 파일을 검색하여 탐지를 피합니다. 다음으로, 실제 명령 및 제어(C2) 서버에 연결하고 에뮬레이터에서 실행되지 않는지 확인합니다. 이 악성 소프트웨어는 C2에서 업데이트된 설정을 검색하고, 실행할 추가 페이로드를 가져오며, "켜기/끄기" 스위치를 통해 동적으로 활성화/비활성화 될 수 있습니다. 각 앱은 데이터 유출을 위해 별도의 Firebase 프로젝트와 C2 서버를 사용하며, 전송 전에 하드코딩된 AES 키로 암호화됩니다.

요약

- 안드로이드 스파이웨어 'KoSpy'는 북한의 위협 그룹 APT37에게 귀속되며, Google Play와 APKPure에 침투하였다.
- 스파이웨어는 파일 관리자, 보안 도구, 소프트웨어 업데이터로 위장하여 한국어와 영어 사용자를 대상으로 한다.
- KoSpy는 장치에서 활성화되면 Firebase Firestore 데이터베이스에서 암호화된 구성 파일을 검색하여 탐지를 피한다.
- 이 악성 소프트웨어는 C2에서 업데이트된 설정을 검색하고, 실행할 추가 페이로드를 가져오며, "켜기/끄기" 스위치를 통해 동적으로 활성화/비활성화 될 수 있다.
- 각 앱은 데이터 유출을 위해 별도의 Firebase 프로젝트와 C2 서버를 사용하며, 전송 전에 하드코딩된 AES 키로 암호화된다.

Reference

https://www.bleepingcomputer.com/news/security/new-north-korean-android-spyware-slips-onto-google-play/ g

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.