지난 주, 한국에서 피해자들만 발견되고 공격 주체 없었던 멀웨어
분석 통해 북한 공격 단체와의 연관성 추가로 발견

[보안뉴스 문가용 기자] 최근 발견된 안드로이드 백도어인 케브드로이드(KevDroid)가 북한과 연관성이 있다는 주장이 나왔다. 케브드로이드는 시스코의 탈로스 팀이 지난 주 발견한 것으로 당시는 “한국을 노린 공격이다”까지는 확인이 됐지만 공격자가 누구인지는 밝혀지지 않았었다. 그런 또 다른 보안 업체인 팔로알토 네트웍스(Palo Alto Networks)가 북한을 지목하고 나선 것이다.


팔로알토 측이 지목한 건 북한의 해킹 그룹으로 알려진 스카크러프트(ScarCruft)이다. 이들은 리퍼(Reaper), 그룹123(Group123), 레드아이즈(Red Eyes) 등의 이름으로도 알려져 있다. 올해 초 플래시 플레이어의 제로데이 취약점을 활용해 한국을 주로 공격한 것으로 업계 내에서 주목을 받은 바 있다.

팔로알토 네트웍스에 의하면 케브드로이드는 사실 APT37이란 북한의 해킹 단체가 사용하는 사이버 무기라고 한다. 뿐만 아니라 지난 주 발견된 케브드로이드의 고급 버전도 APT37의 무기고에서 발견할 수 있었다고 주장했다. APT37은 정상적인 애플리케이션을 스스로 조작해 악성 무기로 활용하기도 할 정도의 기술력을 갖춘 그룹으로 알려져 있다.

케브드로이드는 최초 발견 당시 한국의 대형 포털인 네이버에서 만든 백신 앱인 것처럼 위장하고 있었다. 이 중 팔로알토의 루크나 니감(Ruchna Nigam) 분석가가 발견한 버전은 cgalim.com이라는 도메인과 연결되어 있었는데, 이 도메인은 이미 스카크러프트와 관련이 있는 것으로 과거에 밝혀진 것이기도 하다.

케브드로이드를 사용하고 있는 위협 행위자들은 두 개의 악성 앱을 통해 이 안드로이드용 스파이웨어인 케브드로이드를 퍼트리고 있는 것으로 보인다. 두 앱 다 정상적인 앱을 조작한 것으로 하나는 비트코인 티커 위젯(Bitcoin Ticker Widget)이고 다른 하나는 평창 윈터 게임즈(Pyeongchang Winter Games)다. 두 앱 다 정상 버전은 공식 구글 플레이에 등록되어 있으나, 악성 버전은 그렇지 않다.

악성화 된 앱 두 개 모두 같은 인증서로 서명되어 있다고 팔로알토는 설명한다. “둘 다 악성 페이로드를 같은 URL에서 가져오기도 합니다. 둘 다 스카크러프트가 만든 안드로이드 스파이웨어를 다운로드 받는 기능을 실시하고요. 물론 다운로드 받는 케브드로이드의 버전은 조금씩 다르긴 합니다. 그 중에 어떤 건 지난 주 발견된 것보다 고급화 된 것도 있습니다.”

이런 식으로 해서 사용자가 악성화 된 앱을 설치하면 화면에 ‘업데이트하라’는 내용이 뜬다. 사용자가 업데이트까지 해버리기로 하면, 그때는 악성 페이로드가 다운로드되고 AppName.apk라는 이름으로 기기 내 저장된다. 이 페이로드는 다운로드가 끝난 후 로딩되고, 사용자의 확인을 득한 후 스스로를 설치하기 시작한다.

설치까지 완료된 후 케브드로이드는 오디오와 비디오 기록을 저장하고 화면도 캡쳐하며 파일 목록을 수집한다. 특정 파일들은 서버로 직접 전송하기도 한다. 또한 공격자로부터 명령을 받아 기기 정보를 수집하거나 루트 권한을 뺏기도 한다. 통화를 녹음하거나 통화 목록을 받기도 하고, SMS 히스토리와 연락처 정보도 수집해 공격자에게 전송한다.

지난 주 발견된 케브드로이드의 경우는 오픈소스 라이브러리를 사용해 통화를 기록하는 것으로 분석됐었는데, 이번에 발견된 버전은 공격자가 스스로 제작한 기능을 담고 있었다. 기능면에서 이전 것보다 더 뛰어나다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>