사이버 보안 연구원들은 최근 파키스탄 대상 감시 및 스파이 활동을 수행하기 위해 합법적인 안드로이드 트로이 목마 버전을 활용하는 새로운 스파이웨어 공격을 확인했다.
Pakistan Citizen Portal, Pakistan Salat Time, Mobile Packages Pakistan, Registered SIMs Checker 및 TPL Insurance 라는 이슬람 기도 알림 어플리케이션 등을 가장하여 설계된 악성 변종 어플리케이션은 작업을 난독화하는 것으로 밝혀졌다. 해당 파일은 안드로이드 Dalvik 실행(DEX) 파일 형식이다.
Sophos 보안 연구원인 Pankaj Kohli와 Andrew Brandt는 “DEX 페이로드에는 대부분의 악성 기능이 포함되어 있다. 여기에는 사용자의 연락처 목록 및 SMS 내용과 같은 개인 데이터를 몰래 유출하는 기능이 포함된다.”고 밝혔다. 이를 통해 유출된 내용은 동유럽에 있는 서버에서 호스팅 되는 사이트로 전송된다.
흥미롭게도 공격을 위해 만들어진 가짜 웹사이트에는 파키스탄 무역 공사(TCP) 웹사이트에 이미지 형태로 식별이 가능하게끔 표현되어 있어 시민들이 의심없이 해당 어플리케이션을 다운로드할 수 있도록 유도할 가능성이 높다는 것이다.
현재 TCP 웹사이트 tcp.gov[.]pk를 방문하면 “유지 관리를 위해 중단되었습니다”라는 메시지가 표시된다.
앞서 언급한 어플리케이션 외에도 Sophos 연구진은 구글 플레이 스토어를 통해 배포되는 Pakistan Chat이라는 별도의 어플리케이션도 발견했다. 이 어플리케이션은 ChatGum이라는 합법적인 채팅 서비스의 API를 활용하는 것으로 밝혀졌다.
[출처 : TheHackerNews/ 1.12.]
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.