North Korea’s ScarCruft Deploys KoSpy Malware, Spying on Android Users via Fake Utility Apps
- ScarCruft 그룹 개요
- 북한 국가지원 사이버 첩보 조직으로 APT37 또는 Reaper로도 알려짐
- 2012년부터 활동, 주요 대상은 한국과 동남아, 최근엔 macOS 및 안드로이드까지 타깃 확장
- Windows 기반 RokRAT 악성코드를 주로 활용하며, 최근 모바일 감시 역량 고도화 추세
- KoSpy 안드로이드 감시 악성코드 분석
- 2022년 3월부터 활동, 2024년 3월까지 변종 지속 발견
- Google Play에서 정상 유틸리티 앱(File Manager, Phone Manager 등)으로 위장하여 배포
- 설치 후 Firebase Firestore를 이용해 실제 C2 주소를 비동기 방식으로 불러오는 Dead Drop Resolver 구조 채택
- 악성 동작은 하드코딩된 활성화 날짜 이후 시작, 에뮬레이터 회피 기능 내장
- KoSpy 기능
- SMS, 통화기록, 위치정보, 로컬 저장 파일, 스크린샷, 키로깅, Wi-Fi 정보 등 포괄적 정보 수집
- 동적 플러그인 구조 채택으로 상황에 따라 악성 기능 확장 가능
- C2와의 통신은 Firestore 및 맞춤형 C2 서버 이용, 현재 일부 서버는 비활성화
- DocSwap 악성코드 캠페인
- 문서 열람 인증 앱으로 위장하여 안드로이드 기기 감염 유도
- XOR 기반 보안 DB 복호화 후 DEX 동적 로딩 방식 사용
- 총 57개의 명령을 통해 카메라, 마이크, 파일 삭제, 주소록, SMS, 키 입력 등 수집
- npm 패키지 기반 BeaverTail 정보 탈취 캠페인 (Contagious Interview)
- is-buffer-validator, yoojae-validator 등 6개 악성 패키지 발견
- Chrome, Firefox, Brave 등 브라우저 저장 정보 및 암호화폐 지갑 탈취(id.json, exodus.wallet)
- GitHub 저장소와 함께 운영하며 오픈소스 신뢰성을 위장
- RustDoor 및 Koi Stealer 기반 macOS 대상 공격
- Visual Studio 기반 채용 프로젝트 위장 공격 시나리오
- RustDoor로 LastPass 암호 탈취 및 역쉘 통신 수행
- 이후 Koi Stealer macOS 변종 설치, 시스템 암호 유도 입력을 통해 정보 유출
- 결론
- ScarCruft는 기존 Windows 중심 RokRAT에서 벗어나 안드로이드, macOS, 개발자 환경까지 다각도로 공격 면 확장
- Dead Drop, 유틸리티 위장, typosquatting, 인적요소 기반 클릭 유도 등 고도화된 사회공학 기법 활용
- 사용자 및 조직은 모바일 보안, 개발자 오픈소스 사용 시 검증 절차 강화 필요
- Google Play Protect와 같은 보안 서비스 및 수동 검증 병행 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 국민 개인정보가 공공제로 전락된 현실과 프라이버시 보호 기술의 발전 (1) | 2025.04.17 |
|---|---|
| 2024년 개인정보 처리방침 평가 결과 및 테무 개인정보 논란 분석 (1) | 2025.04.17 |
| 2024년 개인정보 처리방침 평가 결과 분석 (0) | 2025.04.17 |
| JSPSpy 웹셸과 filebroser를 이용한 공격자 기반 웹쉘 네트워크 운영 사례 분석 (1) | 2025.04.17 |
| Storm-1865 그룹의 Booking.com 사칭 피싱 캠페인 분석 (0) | 2025.04.17 |