“北 해커, 한국인 겨냥, 안드로이드 앱 해킹” - 애플경제
“北 해커, 한국인 겨냥, 안드로이드 앱 해킹” - 애플경제
[애플경제 이윤순 기자] 북한 정권과 연계된 해커 그룹이 안드로이드 스파이웨어를 구글 플레이 앱 스토어에 몰래 심어 다운로드하게 했다. 12일 사이버 보안 회사 룩아웃(Lookout)에 의해 밝혀진
www.apple-economy.com
- 공격 개요
- 북한 정부와 연계된 해커 그룹이 안드로이드용 스파이웨어 KoSpy를 구글 플레이 스토어 및 APKPure 등 앱 마켓에 유포
- 최소 10건 이상의 다운로드 사례 확인
- 사이버보안 기업 룩아웃(Lookout)이 이번 캠페인을 분석 및 공개
- KoSpy 악성 기능
- 정보 수집
- SMS 문자, 통화기록, 위치 정보
- 설치 앱 목록, Wi-Fi 정보, 입력 키 로그
- 기기 내 파일 및 폴더, 사용자 사진 및 음성
- 실시간 감시
- 오디오 녹음, 카메라 촬영, 스크린샷 캡처
- 명령 및 제어(C2)
- 구글의 클라우드 데이터베이스 Firestore를 악용해 초기 설정 및 명령 수신
- Firebase 프로젝트를 통해 운영되었으며, 구글 측에서 이후 비활성화 조치
- 정보 수집
- 감염 대상 및 의도
- 사용자 인터페이스는 한국어와 영어를 모두 지원
- 앱 이름 및 설명이 한국어로 구성된 사례 다수
- 한국어 사용자를 주요 표적으로 삼은 정황
- 특정 개인을 정밀 타겟팅한 공격 가능성 제기
- 과거 북한 해커 그룹 APT37, APT43의 인프라 및 행위와 유사한 C2 도메인 및 명령 체계 사용
- 공격 수법 및 확산 경로
- 악성 앱이 정상 앱처럼 위장되어 공식 앱스토어 등록
- 사용자는 신뢰할 수 있는 출처로 착각하여 다운로드
- 구글 플레이, APKPure 등 다양한 경로에서 유포
- 구글은 확인된 악성 앱 삭제 및 Firebase 프로젝트 차단 완료
- 사이버보안 위협 시사점
- 북한은 여전히 모바일 환경에 집중한 지능형 타겟형 공격(Advanced Targeted Attack)을 지속 중
- 클라우드 서비스 인프라 악용 사례 증가
- 사용자 감시 목적의 스파이웨어 도구는 단순 정보수집을 넘어 국가안보, 금융사기, 사회공학 공격 등에 악용 가능
- 한국 내 특정 개인이나 단체를 지속 타겟팅한 가능성 존재
- 보안 권고
- 공식 마켓 외 출처의 앱 다운로드 제한
- 앱 설치 시 권한 요청 내역 면밀히 검토
- 모바일 보안 솔루션(MTD) 사용 권장
- 클라우드 서비스 연동 앱 사용 시 민감정보 접근 여부 확인
- 조직 차원에서 APT 그룹 TTP 분석 기반 모바일 위협 탐지 체계 구축 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 보안팀, 증가하는 업무량 속에서도 목표 달성 “AI와 자동화가 핵심” (0) | 2025.04.15 |
|---|---|
| 글로벌 기업이 주목하는 CIO-CISO 파트너십의 힘 (0) | 2025.04.15 |
| 카스퍼스키, 다크웹에서 230만건 은행카드 정보 유출 확인 (0) | 2025.04.15 |
| 개인정보위, 카카오 '카나나' AI 서비스 사전적정성 검토 결과 의결 (1) | 2025.04.15 |
| 생성형 AI의 세 가지 고질적 문제와 산업계의 대응 전략 (0) | 2025.04.14 |