Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향친 인도 공격자는 안드로이드 스파이웨어로 파키스탄 군대를 감시한다
작성일 2021-02-15 조회 118

플래그

 

 

이번 주 한 보고서는 인도-파키스탄 분쟁 당시, 국가가 지원하는 위협 행위자가 활용한 두 가지 안드로이드 스파이웨어 변종에 대한 세부 정보를 공개했다.

 

Hornbill과 SunBird라는 맬웨어 변종은 적어도 2013년부터 파키스탄과 남아시아의 표적을 감시하는 것으로 알려진 친 인도 국가 후원 작전인 Confucius APT에 의해 가짜 안드로이드 앱(APK)으로 전달되었다.

 

Confucius는 과거 윈도우 맬웨어를 만들었지만 2017년 스파이 앱 ChatSpy가 등장한 이후로 그룹은 모바일 맬웨어로 기능을 확장했다.

 

그룹에서 사용하는 앱에는 카메라로 사진 촬영, 상승된 권한 요청, WhatsApp 메시지 스크래핑, APT 그룹의 서버에 이 모든 정보를 업로드하는 등의 고급 기능이 포함되어 있다.

 

 

가짜 앱을 통해 파키스탄의 군사, 핵 시설에 대한 감시

 

사이버 보안 회사인 Lookout의 보고서는 카슈미르(Kashmir)의 선거 관계자들 외에도 친 인도 성향의 위협 행위자들이 파키스탄 군사 및 핵 당국을 감시하기 위해 사용한 맬웨어가 담긴 가짜 안드로이드 앱을 공개했다.

 

그룹에서 게시한 위조 안드로이드 앱에는 'Google Security Framework'를 비롯해 스파이 활동의 ​​일환으로 'Kashmir News', 'Falconry Connect', 'Mania Soccer', 'Quran Majeed'와 같이 지역적으로 중요한 앱이 포함된다.

 

Lookout 연구원 Apurva Kumar와 Kristin Del Rosso에 따르면, SunBird와 관련된 앱은 Hornbill보다 더 광범위한 기능을 가지고 있으며 데이터 유출 시퀀스를 정기적으로 실행하고 있다.

 

연구원은 "감염된 장치에서 로컬 데이터는 SQLite 데이터베이스에서 수집되며, 이 데이터베이스는 C2 인프라에 업로드될 때 ZIP 파일로 압축된다"고 밝혔다.

 

SunBird는 다음과 같은 종류의 데이터를 수집하여 위협 행위자에게 보낸다.

 

- 설치된 애플리케이션 목록

 

- 브라우저 기록

 

- 캘린더 정보

 

- BlackBerry Messenger (BBM) 오디오 파일, 문서 및 이미지

 

- WhatsApp 오디오 파일, 문서, 데이터베이스, 음성 메모 및 이미지

 

- IMO 인스턴트 메시징 애플리케이션을 통해주고받는 콘텐츠

 

SunBird에서 제공하는 앱은 다음 작업도 수행 할 수 있다.

 

- FTP 공유에서 공격자 지정 콘텐츠 다운로드

 

- 가능한 경우, 임의 명령을 루트로 실행

 

- 접근성 서비스를 통해 BBM 메시지 및 연락처 스크랩

 

- 접근성 서비스를 통해 BBM 알림 스크랩

 

연구원들은 공개적으로 노출된 6개 이상의 C2 서버에서 얻은 18GB 이상의 유출된 데이터를 분석했다.

 

이번 유출 자료로 파키스탄 원자력 위원회의 잠재적인 후보자, 파키스탄 공군(PAF)과 밀접한 관련이 있는 개인, 카슈미르 Pulwama 지역구 선거과정을 총괄하는 선거관리관 등이 국가별 행위자의 표적이 밝혀졌다.

 

 

APK는 고급 기능을 보여준다

 

BleepingComputer는 Falconry Connect라는 SunBird 안드로이드 앱의 복사본을 얻고 분석할 수 있었으며, 이를 통해 APK 내에 com.falconry.sun.SunServices라고 불리는 네임 스페이스에 악성 클래스 파일이 존재한다는 것을 발견했다.

 

이 특정 앱은 사용자 데이터를 C2 서버 sunshinereal.000webhostapp[.]com으로 전송하고 샘플의 VirusTotal 페이지에 나열된 PHP 페이지를 주기적으로 호출한다.

 

 

문자열에 숨겨진 C2 서버

[그림1. 문자열에 숨겨진 C2 서버]

 

 

Falconry Connect 앱의 VirusTotal 탐지율이 낮기 때문에 바이러스 백신 소프트웨어의 80% 이상이 탐지하지 못했다.

 

 

virustotal falconry 연결

[그림2. Falconry Connect에 대한 낮은 VirusTotal 탐지율]

 

 

아래 스크린샷과 같이, BleepingComputer는 소스 코드가 사용자가 촬영한 카메라 사진이 들어있는 "/DCIM/Camera" 폴더에 액세스하는 것과 관련된 정보를 추가로 발견했다.

 

 

dcim / 카메라 폴더

[그림3. "/DCIM/Camera" 소스 코드]

 

 

Lookout의 보고서에 따르면 Hornbill 변형을 포함하는 앱은 본질적으로 더 수동적이고 정찰 도구로 사용되며 최소한의 리소스와 배터리 전력을 소비한다.

 

그러나, 연구원들은 Hornbill 행위자가 사용자의 WhatsApp 활동을 모니터링하는 데 더 관심이 있다고 설명한다.

 

Hornbill은 메시지 내용과 발신자 정보 유출 외에도 안드로이드 접근성 서비스를 악용해 활성 통화를 감지해 WhatsApp 통화를 기록한다.

 

Lookout Threat Intelligence 팀은 동일한 행위자가 SunBird와 Hornbill의 배후에서 서로 다른 감시 목적으로 사용한다고 확신한다.

 

연구원들은 이러한 앱이 Google Play 또는 승인된 앱 스토어를 통해 배포되지 않았다고 강조한다.

 

모바일 사용자는 공식 앱 스토어에서만 앱을 다운로드하고 변조된 Android APK 및 iOS 앱을 제공하는 위험한 웹 사이트를 피하는 것이 좋다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/pro-india-hackers-use-android-spyware-to-spy-on-pakistani-military/

https://thehackernews.com/2021/02/researchers-uncover-android-spying.html

https://blog.lookout.com/lookout-discovers-novel-confucius-apt-android-spyware-linked-to-india-pakistan-conflict

첨부파일 첨부파일이 없습니다.
태그 Hornbill  SunBird