안드로이드 생태계에서 발견된 새 멀웨어, 배후에 중국 공안이 있다?
안드로이드 생태계에서 발견된 새 멀웨어, 배후에 중국 공안이 있다?
안드로이드 생태계에서 활동하는 새로운 멀웨어가 발견됐다. 일종의 스파이웨어인데, 놀랍게도 중국 공안들이 합법적으로 사용하고 있는 것으로 강력히 추정된다. 개발자도 중국의 한 소프트
www.boannews.com
- 새로운 멀웨어 이글메시지스파이(EagleMsgSpy) 발견
- 안드로이드 환경에서 작동하는 스파이웨어로, 최소 2017년부터 활동이 관찰됨
- 주요 수집 데이터:
- 서드파티 채팅 메시지(QQ, 텔레그램, 왓츠앱 등)
- 화면 녹화 및 캡처 이미지
- 오디오 녹음 및 통화 기록
- 연락처 및 문자 메시지
- 위치 데이터 및 네트워크 활동 기록
- 배후 추적
- 보안 업체 룩아웃(Lookout)에 의해 발견
- 멀웨어는 물리적 접근을 통해 설치되며, 온라인 스토어나 웹사이트를 통해 전파되지 않음
- 지속적인 개발과 유지 관리가 이루어진 정황 포착
- C&C 서버와 중국 공안국 도메인이 겹치며, 사용자가 중국 공안일 가능성 강력히 시사
- 중국 소프트웨어 기업과의 연결성
- 우한차이나소프트토큰정보기술(Wuhan Chinasoft Token Information Technology)과 관련된 도메인 확인
- 해당 회사는 다양한 이름으로 활동, 공안과의 협력 가능성 발견
- 멀웨어 관리 패널 및 감시 클라이언트 설치 가이드는 중국어로 작성됨
- iOS 버전 존재 가능성
- 안드로이드 외에도 iOS 플랫폼에 대응하는 멀웨어 존재 가능성 높음
- iOS 관련 샘플은 아직 확보되지 않았으나 내부 문서에서 언급됨
- 결론
- 이글메시지스파이는 정부 기관, 특히 중국 공안이 특정 개인이나 단체를 감시하는 데 사용된 것으로 보임
- 멀웨어의 물리적 설치 방식을 고려하여 장비 접근 제어 강화 필요
- 잠재적인 iOS 버전에도 대비하기 위해 다중 플랫폼 보안 방어체계 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 고도화된 리눅스 루트킷 PUMAKIT 등장: 권한 상승·파일 은닉·디텍션 우회 (0) | 2025.01.03 |
|---|---|
| UAC-0125, Cloudflare Workers를 악용하여 Army+ 앱으로 위장한 악성코드 배포 (0) | 2025.01.03 |
| Webview2 악용으로 CoinLurker 악성코드 배포: 가짜 업데이트 유도 주의 (0) | 2025.01.02 |
| APT29(러시아 연계) 해커, 악성 RDP 서버·PyRDP 활용한 공격 전술 (0) | 2025.01.02 |
| 해커, Cisco DevHub에서 탈취한 데이터 일부 유출 (0) | 2025.01.02 |