SafeChat 모바일 악성코드
스파이웨어 맬웨어로 장치를 감염시키기 위해 'SafeChat'이라는 사기성 Android 애플리케이션을 사용하는 해커가 발견되었습니다. 이 악성 소프트웨어는 통화 기록, 문자 메시지 및 GPS 위치를 포함하여 전화에서 중요한 정보를 훔치는 것을 목표로 합니다.
Android 스파이웨어는 다양한 통신 앱에서 데이터를 훔치는 기능으로 알려진 악명 높은 'Coverlm' 악성코드의 변종으로 의심됩니다. 대상 애플리케이션에는 Telegram, Signal, WhatsApp, Viber 및 Facebook Messenger와 같은 인기 있는 플랫폼이 포함됩니다.
이 캠페인의 배후에는 '바하무트(Bahamut )'로 알려진 인도 APT 해킹 그룹이 있는 것으로 추정됩니다. 그들은 주로 WhatsApp을 통해 배포되는 스피어 피싱 메시지를 사용하여 최근 공격에 책임이 있는 가해자로 확인되었습니다. 이러한 메시지에는 피해자의 장치에 직접 전달되는 위협적인 페이로드가 포함되어 있습니다. 이 Bahamut 캠페인의 주요 대상은 남아시아에 위치한 사용자입니다.
SafeChat 맬웨어는 합법적인 메시징 응용 프로그램으로 가장합니다.
공격자가 사용하는 일반적인 수법은 피해자가 채팅 응용 프로그램을 설치하도록 설득하여 보다 안전한 통신 플랫폼을 제공할 것이라고 주장하는 것입니다. Infosec 전문가에 따르면 Safe Chat으로 위장한 스파이웨어는 실제 채팅 앱을 모방한 사기성 사용자 인터페이스를 사용합니다. 또한 합법적인 사용자 등록 과정으로 피해자를 안내하여 신뢰성을 더하고 스파이웨어의 악의적인 활동에 대한 완벽한 커버 역할을 합니다.
감염 프로세스의 중요한 단계에는 접근성 서비스를 사용할 수 있는 기능과 같은 중요한 권한을 얻는 것이 포함됩니다. 그런 다음 이러한 권한은 오용되어 자동으로 스파이웨어에 민감한 데이터에 대한 추가 액세스 권한을 부여합니다. 특히 스파이웨어는 피해자의 연락처 목록, SMS 메시지, 통화 기록, 외부 장치 저장소에 액세스하고 손상된 장치에서 정확한 GPS 위치 데이터를 검색할 수 있습니다.
또한 Android Manifest 파일의 스니펫은 스파이웨어 배후의 공격자가 스파이웨어가 이미 설치된 다른 채팅 애플리케이션과 상호 작용하도록 설계했음을 보여줍니다. 인터랙션은 인텐트를 사용하여 발생하며 OPEN_DOCUMENT_TREE 권한을 통해 스파이웨어는 특정 디렉토리를 선택하고 인텐트에 언급된 앱에 액세스할 수 있습니다.
감염된 장치에서 수집된 데이터를 유출하기 위해 스파이웨어는 전용 데이터 유출 모듈을 사용합니다. 그런 다음 정보는 포트 2053을 통해 공격자의 C2(Command-and-Control) 서버로 전송됩니다. 전송 중에 유출된 정보의 기밀성을 보장하기 위해 스파이웨어는 RSA, ECB 및 OAEPPadding을 지원하는 다른 모듈에 의해 촉진되는 암호화를 활용합니다. 또한 공격자는 "암호화" 인증서를 사용하여 네트워크 데이터 가로채기 시도를 회피합니다.
다른 사이버 범죄 그룹과의 연결
SafeChat 공격 캠페인에서 'DoNot APT'(APT-C-35)로 알려진 또 다른 인도 국가 지원 위협 그룹과 매우 유사한 여러 TTP(Tactics, Techniques, and Procedures)가 확인되었습니다. 특히 'DoNot APT'는 스파이웨어 기능을 하는 가짜 채팅 앱으로 구글 플레이에 침투한 바 있다. 두 해커 그룹 간의 유사점에는 동일한 인증 기관 사용, 유사한 데이터 도용 방법론, 공유된 대상 범위, Android 앱을 활용하여 의도한 대상을 감염시키는 것이 포함됩니다.
이렇게 관찰된 유사점은 두 위협 그룹 간에 잠재적인 중첩 또는 긴밀한 협력을 강력하게 시사합니다. 또한 데이터 도용 기술의 유사성 및 공유 대상 초점은 공격의 공통 목표 또는 목적을 나타낼 수 있습니다.
두 그룹 모두 Android 앱을 침투 수단으로 사용했다는 사실은 가능한 협업 또는 지식 공유의 개념을 더욱 강화합니다. 이러한 국가 지원 그룹이 실행하는 공격의 정교함과 복잡성이 잠재적으로 증가할 수 있음을 의미하므로 이러한 협력 징후를 진지하게 받아들이는 것이 중요합니다.
