아랍어로 된 앱들에서 발견된 스파이웨어...중동 관련 소식으로 사용자 낚아
2014~15년 중동 지역에서 발견된 스핑크스 공격과 유사

[보안뉴스 문가용 기자] 아랍어 사용자들을 노리는 안드로이드 스파이웨어가 발견됐다. 2014년과 2015년에 중동 지역에서 발생했던 스핑크스(Sphinx) 사이버 스파이 공격과 관련이 있어 보인다. 스핑크스 스파이 캠페인은 당시 중동 지역의 PC 사용자들을 노리고 APT-C-15라는 단체가 실시한 것으로 파악되고 있다.


이는 보안 업체 트렌드 마이크로(Trend Micro)가 자사 블로그를 통해 밝힌 것으로 최근 구글 플레이 스토어와 비공식 앱스토어에서 발견된 7가지 앱을 분석하다가 이러한 공격 징후를 발견했다고 한다. 트렌드 마이크로는 이 스파이웨어를 아누비스스파이(AnubisSpy)라고 이름 붙였다.

트렌드 마이크로가 발견한 바, 스파이웨어 기능이 있던 앱들 전부 아랍어로 만들어졌고, 이집트와 관련이 있었다. 이집트의 TV 프로그램과 관련이 있는 앱이거나 중동 소식을 전하는 뉴스 앱으로 위장되어 있는 식이었다. 가짜 구글 인증서로 서명되어 있었으며, 구체적으로 밝히진 않았지만 대여섯 국가의 사용자들이 다운로드 받아 설치했다고 한다.

트렌드 마이크로의 블로그에 의하면 “이 스파이웨어 앱들은 중동과 관련된 소식들이나 정치적 혹은 사회적인 주제들을 가지고 사람들의 관심을 끌고, 거기서부터 소셜 엔지니어링 공격을 실시한다”고 하며 “소셜미디어를 통해 추가로 확산되어 퍼져간다.”

아누비스스파이는 문자 메시지와 사진, 동영상, 연락처, 이메일 계정을 훔쳐내는 기능을 가졌으며, 크롬과 삼성 인터넷 브라우저의 히스토리 역시 모니터링하고 가져갈 수 있다. 심지어 스크린샷을 찍고 오디오 녹음도 가능해 면밀한 스파이 행위를 가능하게 해준다. 또한 스카이프, 왓츠앱, 페이스북, 트위터 등을 통한 스파잉도 실시한다.

트렌드 마이크로는 아누비스스파이와 2~3년 전 등장한 스핑크스 멀웨어와 1) 파일 구조, 2) C&C 서버, 3) JSON 파일 복호화 기술, 4) 공격 표적이 동일하거나 흡사하다고 하며, 둘 사이에 깊은 연관성이 있다고 주장한다. 스핑크스 공격은 피해자들에게 접근하기 위해 워터링홀 공격 기법을 주로 사용해 njRAT이라는 트로이목마를 심었다.

하지만 스핑크스 공격자와 아누비스스파이 공격자가 동일한 인물이나 단체라고 결론 내리기는 힘들다고 트렌드 마이크로는 강조했다. “둘 다 가능성이 있는 시나리오입니다. 동일한 범인들이 다시 나타난 것일 수도 있고, 누군가 이전 공격자들을 가장한 채 숨어서 공격하는 것일 수도 있는 것입니다.”

문제가 된 앱들의 개발연도는 2015년 4월까지로 거슬러 올라가고, 가장 최신 앱은 올해 5월에 출시된 것으로 나타났다. 트렌드 마이크로는 구글에 연락해 해당 앱들의 존재를 알리고, 구글은 플레이 스토어 업데이트를 통해 앱들을 전부 삭제했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>