안드로이드 악성코드

중동에서 표적을 공격하는 것으로 알려진 한 위협 행위자는 지속적인 공격 수행을 위해 겉보기에 유해성이 업성 보이는 어플리케이션 업데이트 파일로 위장하여 더 은밀하고 지속적으로 사용할 수 있는 안드로이드 스파이웨어를 사용했다.

보안업체 소포스社의 보안연구원 Pankaj Johli는 지난 화요일 발표한 보고서에서 이번에 식별된 새로운 변종이 악성 어플리케이션에 새로운 기능을 통합하여 수동으로 제거하려는 사용자의 작업과 명령에 대한 액세스를 차단하거나 종료하는 보안 및 웹 호스팅 업체에 대응하고 있다고 밝혔다.

VAMP, FrozenCell, GnatSpy 및 Desert Scorpion이라는 별칭으로 알려진 이 모바일 스파이웨어는 최소 2017년부터 APT-C-23 조직이 선호하는 공격 도구였다. 이 스파이웨어는 이미지, 연락처 및 통화기록, 메시징 앱의 알림 읽기, 통화 녹음, 내장된 안드로이드 보안 어플리케이션의 알림 해제 등의 기능을 수행한다.

과거 악성코드는 안드로이드 업데이트, 텔레그램 등을 가장하여 가짜 안드로이드 앱 스토어를 통해 배포되었다. 이번의 최신 공격 캠페인은 어플리케이션 업데이트, 시스템 어플리케이션 업데이트, 안드로이드 업데이트 인텔리전스 등의 이름으로 대상 휴대폰에 업데이트를 설치한다는 것에서 이전과 다르지 않다. 공격자는 스미싱 메시지를 통해 대상에 다운로드 링크를 전송하여 스파이웨어 앱을 전달하는 것으로 보여진다.

이 밖에도 보안연구원 Pankaj John는 APT-C-23에 연결된 안드로이드 스파이웨어는 적어도 4년 간 존재했으며 공격자들은 탐지 제거를 우회하는 새로운 기술을 개발하고 있다고 분석했다.

[출처 : TheHackerNews / 11.24.]