매력적인 여성 사진으로 꾸며진 허위 계정으로 접근
‘몰래’ 얘기하자며 메신저 앱 설치 요구...각종 정보 빼돌려

[보안뉴스 문가용 기자] 사이버 범죄자들이 소셜 미디어와 소셜 엔지니어링을 사용해 피해자들을 속여 새로운 스파이웨어를 설치하고 있다고 한다. 이 스파이웨어는 킥(Kik) 메신저인 것처럼 위장되어 있으녀 이름은 템티드 세다 스파이웨어(Tempted Cedar Spyware)라고 한다.


템티드의 기능은 연락처, 통화 기록, 문자, 사진, 기기 정보, 위치정보 등의 중요 정보를 훔쳐내는 것이라고 한다. 이런 정보들을 통해 사용자를 추적하고 주위의 소리까지 녹음해 감시한다. 피해자가 한 대화뿐만 아니라 가까운 곳에 있는 지인들의 음성들도 전부 녹음해 저장한다. 이는 보안 업체 어베스트(Avast)가 발견했다.

“범인들은 굉장히 매력적인 가상의 인물을 만들어 페이스북 계정 프로파일을 채웁니다. 그리고 소셜 친구들을 통해 멀웨어를 퍼트리죠.” 어베스트의 설명이다. “멀웨어는 킥 메신저 앱처럼 생겼는데, 사실 피해자들이 다운로드 받는 APK는 전혀 다른 기능을 실행하죠. 민감한 정보를 빼돌려 공격자에게로 전송시키는 것이 가장 중요한 역할입니다.”

분석 결과 이 공격은 2015년부터 시작됐으며 중동 국가들의 일부 인물들을 주로 노려왔음이 드러났다.

가짜 인물을 만들기 위해 범인들은 여러 곳에서 사진을 훔쳤고, 대부분 외모가 뛰어난 여성의 것이었다고 한다. 따라서 피해자들은 대부분 ‘남성’이었다. 남성들은 이 여성과 점점 더 친밀해지다가 개인 채팅 방으로 안내를 받았다. 거기서 사적이고 은밀한 대화를 하기 위함이었다.

그런 과정에서 킥 메신저를 소개받고 허겁지겁 설치하게 되는 건데, 출처가 불분명한 앱을 설치하려면 사용자가 기기의 환경설정을 조금 바꿔줘야 할 필요가 있다. 이것부터가 기기를 취약하게 만든다고 어베스트는 강조한다.

가짜 인물들의 페이스북 계정 중 세 개는 자기들끼리도 소통을 한 것으로 나타났다. 이로써 허구의 인물이라는 느낌을 한 층 더 지워낼 수 있었다.

어베스트는 “레바논의 해커들의 의심된다”는 입장이다. “SSH 로그를 살펴보면 동유럽과 중동 국가의 그것과 시간대가 맞습니다. 여기에는 레바논도 포함되어 있고요. 또한 공격에 활용된 인프라 역시 이전 레바논 해커들이 사용하던 것과 흡사합니다.

스파이웨어 자체는 두 가지 모듈로 구성되어 있다. 두 모듈이 받아들이고 실행하는 명령어는 제각각이지만, 사용자 정보를 모은다는 기능에 있어서는 공통점을 가지고 있다.

일반 사용자 입장에서 감염을 방지하려면 1) 백신 소프트웨어를 사용하고, 2) 온라인에서만 만난 낯선 사람들과 쉽게 친해지지 말고, 3) 그런 사람들이 준 낯선 링크를 클릭하거나 소프트웨어를 설치하지 말아야 한다고 어베스트는 권장한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>