사이버 보안 회사인 Lookout에 따르면, 북한 정권과 연계된 해커 그룹이 안드로이드 스파이웨어를 Google Play 앱 스토어에 업로드하고 일부 사람들을 속여 다운로드하도록 했습니다. 수요일에 발표된 보고서에서 Lookout은 KoSpy라고 불리는 다양한 안드로이드 스파이웨어 샘플을 포함하는 스파이 활동을 자세히 설명했으며 이 스파이웨어가 북한 정부의 작품이라는 "높은 수준의 확신"을 갖고 있습니다.
공식 Android 앱 스토어에 있는 앱 페이지의 캐시된 스냅샷에 따르면 적어도 하나의 스파이웨어 앱이 Google Play에 등장했으며 10회 이상 다운로드되었습니다. Lookout은 보고서에 해당 페이지의 스크린샷을 포함했습니다.
북한 해커들은 최근 암호화폐 거래소 바이비트(Bybit)에서 약 14억 달러 규모의 이더리움을 훔치는 등 대담한 암호화폐 강탈로 지난 몇 년 동안 헤드라인을 장식했습니다. 그러나 이 새로운 스파이웨어 캠페인의 모든 징후는 Lookout에서 식별한 스파이웨어 애플리케이션의 기능을 기반으로 한 감시 작업임을 나타냅니다.
북한 스파이웨어 캠페인의 목표는 불분명하지만 Lookout의 보안 인텔리전스 연구 책임자인 Christoph Hebeisen은 TechCrunch에 다운로드 수가 적기 때문에 스파이웨어 애플리케이션이 특정 그룹의 사람들을 목표로 삼았을 가능성이 높다고 말했습니다.
Lookout에 따르면 KoSpy는 문자 메시지, 통화 기록, 장치 위치 데이터, 장치의 파일 및 폴더, 사용자가 입력한 키 입력, Wi-Fi 네트워크 세부 정보, 설치된 앱 목록 등 "대량의 민감한 정보"를 수집합니다.
KoSpy는 또한 오디오를 녹음하고, 휴대폰 카메라로 사진을 찍고, 사용 중에 스크린샷을 찍을 수도 있습니다.
Lookout은 또한 KoSpy가 "초기 구성"을 검색하기 위해 Google Cloud 인프라에 구축된 클라우드 데이터베이스인 Firestore를 사용한다는 사실도 발견했습니다.
구글 대변인 Ed Fernandez는 mLookout이 보고서를 회사와 공유했으며 Google Play의 KoSpy 샘플을 포함하여 "확인된 모든 앱이 Play에서 제거되었으며 Firebase 프로젝트가 비활성화되었습니다"라고 말했습니다. Google Play는 알려진 버전의 멀웨어로부터 사용자의 Android 기기를 자동으로 보호합니다. "
구글은 이 보고서를 북한 정권에 귀속시키는 데 동의하는지 여부와 룩아웃 보고서에 대한 기타 세부 사항을 포함해 보고서에 대한 일련의 구체적인 질문에 대해서는 언급하지 않았습니다.
보고서는 또한 Lookout이 타사 앱 스토어 APKPure에서 일부 스파이웨어 앱을 발견했다고 밝혔습니다. APKPure 대변인은 회사가 Lookout으로부터 "어떤 이메일"도 받지 못했다고 말했습니다.
Lookout의 Hebeisen과 수석 보안 정보 연구원인 Alemdar Islamoglu는 Lookout이 구체적으로 해킹을 당했을 수 있는 대상에 대한 정보를 갖고 있지 않지만 회사는 이 캠페인이 고도로 표적화된 캠페인이었다고 확신하며 대상은 한국에서 영어나 한국어를 사용하는 사람들일 가능성이 높다고 말했습니다.
보고서에는 Lookout이 발견한 앱 이름을 기반으로 평가했으며 그 중 일부는 한국어로 되어 있었고 일부 앱에는 한국어 제목과 두 언어를 모두 지원하는 사용자 인터페이스가 있었다고 나와 있습니다.
또한 Lookout은 이러한 스파이웨어 애플리케이션이 사용하는 도메인 이름과 IP 주소가 북한 정부 해킹 그룹인 APT37과 APT43이 사용하는 악성 코드와 명령 및 제어 인프라에 존재하는 것으로 이전에 확인된 사실을 발견했습니다.
Hebeisen은 "북한 위협 행위자의 독특한 점은 공식 앱 스토어에 앱을 성공적으로 올리는 경우가 많다는 것"이라고 말했습니다.