DocSwap 모바일 멀웨어
국가 연계 공격자들이 소셜 엔지니어링 및 악성코드 유포 기법을 지속적으로 정교화함에 따라 진화하는 모바일 위협에 대한 경계를 늦추지 않는 것이 필수적입니다. 최근 북한 그룹 김수키(Kimsuky)의 소행으로 추정되는 공격 캠페인은 공격자들이 피싱, QR 코드, 트로이목마가 감염된 안드로이드 앱을 혼합하여 피해자의 기기를 감염시키는 방식을 잘 보여줍니다.
목차
Kimsuky의 최신 안드로이드 캠페인이 드러났습니다
보안 연구원들은 김수키(Kimsuky)가 DocSwap이라는 새로운 안드로이드 악성코드 변종을 유포하는 새로운 활동에 연루되었다고 밝혔습니다. 이 캠페인은 서울에 본사를 둔 유명 물류 회사인 CJ 로지스틱스(구 CJ 코리아 익스프레스)를 사칭한 피싱 웹사이트를 악용합니다. 이러한 가짜 페이지는 신뢰할 수 있는 것처럼 보이도록 설계되어 배송 관련 알림을 기다리는 사용자를 표적으로 삼습니다.
QR 코드와 가짜 경보는 감염 매개체 역할을 합니다.
공격자들은 사용자를 속여 악성 애플리케이션을 설치하도록 유도하기 위해 QR 코드와 기만적인 알림 팝업을 주로 사용합니다. 데스크톱 시스템에서 접속하면 피싱 페이지에 QR 코드가 표시되고, 방문자는 안드로이드 기기로 해당 코드를 스캔해야 합니다. 이러한 리디렉션 기법을 통해 피해자는 배송 추적 앱이나 보안 인증 앱으로 위장한 악성 프로그램을 설치하게 됩니다.
기만 행위를 더욱 심화시키기 위해 피싱 페이지는 브라우저의 사용자 에이전트를 검사하는 추적 PHP 스크립트를 실행합니다. 이 검사를 기반으로 사용자에게 소위 '국제 관세 보안 정책'을 준수하는 데 필요하다는 보안 모듈을 설치하라는 메시지가 표시됩니다. 이러한 설명은 설치 요청을 정당화하고 의심을 줄이기 위한 것입니다.
안드로이드 보안 경고 우회하기
안드로이드는 출처를 알 수 없는 앱 설치를 제한하고 눈에 띄는 경고를 표시하기 때문에, 공격자들은 해당 앱이 공식적이고 안전한 앱이라고 거짓 주장합니다. 이러한 사회공학적 수법은 피해자들이 내장된 보호 기능을 무시하고 경고에도 불구하고 설치를 진행하도록 유도합니다.
악성 APK 배포 및 실행 과정
피해자가 동의하면 27.102.137.181 서버에서 SecDelivery.apk라는 이름의 APK 파일이 다운로드됩니다. 이 패키지가 실행되면 자체 리소스에 내장된 암호화된 APK 파일을 복호화합니다. 페이로드를 활성화하기 전에 외부 저장소 관리, 인터넷 접속 및 추가 패키지 설치 권한을 획득했는지 확인합니다.
권한이 확인되면 악성 프로그램은 com.delivery.security.MainService라는 서비스를 등록하고 즉시 OTP 기반 신원 확인으로 위장한 활동을 시작합니다. 이 가짜 인증 화면은 배송 번호를 요구하는데, 이 번호는 APK 파일에 742938128549로 하드코딩되어 있으며, 초기 피싱 단계에서 피해자에게 제공되었을 가능성이 높습니다.
기만적인 인증과 은밀한 침해
배송 번호를 입력하면 앱이 임의의 6자리 인증 코드를 생성하여 알림으로 표시합니다. 사용자는 이 코드를 입력하라는 메시지를 받게 되는데, 이는 마치 합법적인 보안 절차인 것처럼 보이게 합니다. 입력이 완료되면 앱은 CJ Logistics의 실제 배송 조회 페이지로 연결되는 웹뷰를 열어, 마치 진짜처럼 보이게 합니다.
한편, 악성 구성 요소는 공격자가 제어하는 명령 및 제어 서버(27.102.137.181, 포트 50005)에 조용히 연결합니다. 이 시점부터 새로 배포된 DocSwap 변종은 완전한 기능을 갖춘 원격 액세스 트로이목마로 작동합니다.
원격 접속 기능 및 데이터 도난
이 악성 소프트웨어는 운영자로부터 수십 가지 명령을 수신할 수 있어 감염된 기기에 대한 광범위한 감시 및 제어를 가능하게 합니다. 사용자 입력 기록, 통신 내용 모니터링, 민감한 개인 정보 추출 등의 기능을 통해 감염된 스마트폰을 강력한 스파이 도구로 변모시킵니다.
트로이목마가 감염된 앱과 확산되는 배포
가짜 배송 앱 외에도 연구원들은 P2B 에어드롭 애플리케이션으로 위장한 악성 샘플과 정식 VPN 제품인 BYCOM VPN의 변조된 버전을 추가로 발견했습니다. 정식 VPN 앱은 구글 플레이 스토어에서 다운로드할 수 있으며 인도 기업인 Bycom Solutions에서 개발했습니다. 분석 결과, Kimsuky는 정식 APK 파일에 악성 코드를 삽입한 후 이를 재포장하여 캠페인에 사용한 것으로 나타났습니다.
피싱 인프라 및 자격 증명 탈취
지원 인프라에 대한 조사 결과, 네이버와 카카오 등 한국의 인기 플랫폼을 모방한 피싱 웹사이트가 발견되었습니다. 이러한 사이트는 사용자 계정 정보를 탈취하도록 설계되었으며, 특히 네이버 사용자를 표적으로 삼았던 이전 김수키 공격과 유사점을 보여 기존 인프라를 재사용 및 확장한 것으로 추정됩니다.
진화하는 악성코드 설계
배포된 악성코드는 이전 Kimsuky 도구와 유사하게 RAT 서비스를 실행하지만, 주목할 만한 진화를 보여줍니다. 내장 APK에 대한 새로운 네이티브 복호화 기능의 사용과 여러 가지 위장 동작의 포함은 지속적인 개발과 탐지 회피 및 효율성 향상을 위한 노력을 나타냅니다.
