ProSpy 스파이웨어

사이버 보안 연구원들이 ProSpy라는 정교한 안드로이드 스파이웨어 캠페인을 발견했습니다. 이 캠페인은 Signal이나 ToTok과 같은 인기 메시징 앱을 사칭하여 아랍에미리트(UAE) 사용자를 표적으로 삼습니다. 이 캠페인은 사용자를 속여 공식 앱 스토어를 우회하여 악성 소프트웨어를 설치하도록 유도하는 기만적인 수법을 사용합니다.

ProSpy가 퍼지는 방식

ProSpy 악성코드는 가짜 웹사이트와 소셜 엔지니어링 기법을 통해 유포되어 사용자가 감염된 APK 파일을 수동으로 다운로드하고 설치하도록 유도합니다. 이러한 앱은 합법적인 앱 스토어에서는 제공되지 않으므로, 타사 소스에서 수동으로 설치해야 합니다.

2025년 6월에 처음 발견되어 2024년부터 활동한 것으로 추정되는 이 캠페인은 Signal과 ToTok으로 위장한 웹사이트를 이용하여 악성 APK 파일을 제공합니다. 이러한 파일은 Signal Encryption Plugin이나 ToTok Pro와 같은 이름으로 업그레이드된 것처럼 오도되어 표시됩니다.

역사적 맥락: ToTok이 표적이 된 이유

ToTok을 미끼로 사용하는 것은 특히 전략적입니다. ToTok은 UAE 정부의 감시 도구로 사용되어 사용자 대화 내용, 위치 데이터 및 기타 개인 정보를 수집했다는 혐의로 2019년 12월 Google Play와 Apple App Store에서 삭제되었습니다.

ToTok 개발자들은 이러한 주장을 꾸준히 부인하며, 앱 삭제를 시장 조작으로 규정하고 해당 소프트웨어가 사용자를 감시하지 않는다고 주장했습니다.

악성 앱의 기능

ProSpy 앱은 다음을 포함하여 광범위한 장치 권한을 요청하도록 설계되었습니다.

• 콘택트 렌즈
• SMS 메시지
• 장치에 저장된 파일

이 스파이웨어는 기기 정보, 채팅 백업, 설치된 애플리케이션 목록 등 민감한 데이터를 유출할 수 있습니다. 연구원들은 또한 이 지역에서 동시에 활동하는 다른 안드로이드 스파이웨어 계열도 존재한다는 사실을 발견했는데, 이는 조직적인 공격 시도가 있었음을 시사합니다.

악의적인 활동을 가리기 위한 사기성 리디렉션

이 캠페인에는 앱의 합법성을 강화하는 영리한 리디렉션 전략이 포함되어 있습니다.

토톡 프로

신호 암호화 플러그인

• 이 앱에는 사용자를 공식 Signal 웹사이트로 안내하는 '활성화' 버튼이 포함되어 있습니다.
• 권한이 부여된 후에는 악성 앱 아이콘이 Google Play 서비스로 위장되어 그 존재가 더욱 가려집니다.
• 앱과 관계없이 사용자가 리디렉션 버튼을 누르기 전에 데이터가 자동으로 유출되어 연락처, 메시지, 파일 및 기타 민감한 정보가 유출됩니다.

지역적 영향 및 보안 의미

ProSpy 캠페인은 비공식적인 출처에서 앱을 수동으로 설치하는 것의 위험성과 UAE 사용자를 표적으로 삼는 지속적인 위협을 강조합니다. 이러한 캠페인은 사이버 범죄자들이 역사적 논란과 인기 있는 앱에 대한 신뢰를 악용하여 기기에 침투하고 데이터를 훔치는 방법을 보여줍니다.