APT해커, 시리아 전자정부 웹페이지 통해 안드로이드 트로이목마 배포

최근 외신에 따르면 APT 해커가 시리아 전자정부 웹 포털을 통해 안드로이드 악성코드를 배포하는 새로운 캠페인이 발견되었다고 함.

보안업체 트렌드마이크로(社) 연구원 Zhengyu Dong, Fydor Yarochkin, Steven Du는 분석 보고서에서 “우리가 아는 한 이 그룹이 공격 도구로 악성 안드로이드 어플리케이션을 사용한 것이 공개적으로 관찰된 것은 이번이 처음”이라고 밝혔음.

StrongPity라는 이름을 가진 이 공격 조직은 마이크로소프트는 Promethium이라고 명명한 바 있는데, 2012년부터 활동한 것으로 보이며 일반적으로 터키와 시리아 전역을 대상으로 공격을 수행한 것으로 알려짐. 특히 지난 2020년 6월에는 워터링 홀 공격과 동시에 인기있는 어플리케이션을 변조하여 공격을 진행하기도 함.

한 편, 이번 공격과 관련하여 시리아 e-Gov Android 어플리케이션으로 가장한 악성코드는 2021년 5월에 생성된 것으로 알려져있으며 전화에 대한 추가 권한을 요구함. 연락처, 외부 저장소에 쓰기, Wi-Fi 네트워크에 대한 정보, 위치 등 시스템이 시작되는 즉시 백그라운드에서 자동으로 시작하도록 허용함. 뿐만 아니라 C2 서버와 통신하며 서버의 요청을 수행함.

[출처 : TheHackerNews / 7.22.]