견원지간인 인도와 파키스탄 간에 또 다른 공격 정황이 발견됐다. 이번에는 인도의 해커들이 파키스탄의 개인과 조직들을 노리고 있었다. 주로 로맨스 스캠 전략으로 접근한 인도 해커들은 구글 플레이마저 농락했다.

[보안뉴스 문가용 기자] 인도의 APT 단체인 패치워크(Patchwork)가 구글 플레이라는 공식 애플리케이션 스토어를 통해 여섯 가지 악성 앱을 유포하고 있다는 사실이 최근 발견됐다. 이 여섯 가지 앱은 정상적인 메시지 앱 혹은 뉴스 서비스로 위장되어 있었다고 한다. 하지만 그 안에는 바지라스파이(VajraSpy)라는 RAT가 담겨져 있었다. 이 RAT는 한 번도 발견된 적이 없는 새로운 멀웨어다.


패치워크의 이번 캠페인을 발견한 건 보안 업체 이셋(ESET)이다. 이셋의 연구원들이 바지라스파이를 분석했을 때 다음과 같은 기능을 발견할 수 있었다.
1) 통화 가로채기
2) SMS 문자 메시지 가로채기
3) 파일 가져가기
4) 연락처 정보 훔치기
5) 왓츠앱과 시그널 메시지 훔치기
6) 통화 내역 기록하기
7) 카메라로 사진 찍기

이셋이 분석했을 때 바지라스파이가 포함된 악성 애플리케이션 6개는 총 1400번 이상 다운로드 된 것으로 나타났다. 그러나 이것이 이번 캠페인의 전부는 아니다. 플레이가 아니라 비공식 서드파티 스토어들을 통해서도 바지라스파이가 섞인 앱들이 다수 발견됐다. 프라이비토크(Privee Talk), 밋미(MeetMe), 렛츠챗(Let’s Chat), 퀵챗(Quick Chat), 라파캇(Rafaqat), 파라캇(Faraqat)과 같은 이름의 앱들이 위험한 것으로 분석됐다.

“여태까지 봤을 때 바지라스파이를 활용하는 공격자 패치워크는 주로 파키스탄의 사용자들을 노리는 것으로 추정됩니다. 악성 앱 중 하나인 라파캇의 경우, 구글 플레이의 개발자 정보란에 파키스탄에서 인기가 매우 높은 크리켓 선수의 이름이 삽입되어 있습니다. 또한 계정을 생성할 때 전화번호를 입력하도록 되어 있는데, 전화번호 란에 파키스탄의 국가 번호가 디폴트로 채워져 있습니다. 실제로 침해된 장비의 대부분이 파키스탄에 있기도 합니다.”

피해자들이 앱을 다운로드 받아 설치하도록 유도하기 위해 공격자들이 주로 사용하는 전략은 ‘로맨스 스캠’이라고 이셋은 설명한다. “여러 다른 플랫폼에서 피해자를 만나 관계를 맺어가는 것으로 보입니다. 그렇게 해서 서로가 사랑하는 관계가 된 후에 앱을 소개해 설치하도록 합니다. ‘우리끼리 이런 채팅 앱으로 대화하자’는 식으로 꼬드기는 것이죠.”

현재 위 여섯 개의 앱들은 구글 플레이에서 전부 삭제된 상황이다. 패치워크는 예전부터 파키스탄을 주로 노리던 것으로 알려져 있다.

3줄 요약
1. 인도의 APT 패치워크, 구글 플레이에 악성 앱 침투시킴.
2. 주로 파키스탄 표적들을 노리며 스파이웨어를 퍼트림.
3. 스파이웨어 설치 위해 패치워크가 구사하는 전략은 로맨스 스캠.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>