스미싱 문자로 가짜 배송조회 사이트 유도...QR코드 스캔하면 악성 앱 설치
‘DOCSWAP’ 최신 변종…네이티브 복호화 기능 추가·디코이 동작 다양화
[보안뉴스 여이레 기자] 북한 국가 연계 위협그룹 ‘김수키’가 QR코드를 무기화해 모바일 악성코드를 유포하는 등 공격 방식을 확장한 것으로 나타났다. 이들은 택배 배송 서비스를 모방한 정교한 피싱 사이트로 사용자를 유인, 악성 안드로이드 앱을 설치하도록 속였다.
17일(현지시간) 외신 매체 등에 따르면 엔키화이트햇 보안 연구진은 9월 스미싱 문자 메시지를 받고 링크를 클릭하면 가짜 배송 조회 웹사이트로 리다이렉트되는 악성 캠페인을 확인했다. 이 가짜 사이트엔 QR코드가 게시돼 있었고, 사용자가 이를 스캔하도록 유도해 스마트폰에 감염된 안드로이드 앱을 내려받게 하는 방식이었다.
[자료: 엔키화이트햇]
이 악성코드는 2025년 초 처음 조사가 이뤄진 ‘DOCSWAP’의 최신 버전으로 분석된다. 새 변종은 이전 버전에 비해 여러 개선점이 확인됐다. 새로운 네이티브 복호화 기능을 도입했고, 사용자를 속이기 위한 디코이 동작도 더 다양해졌다.
연구진은 이번 캠페인이 이전 김수키 작전들과 연계됐다는 정황도 확인했다. 명령·제어(C2) 서버 루트 디렉터리에서 독특한 문자열 ‘Million OK !!!!’가 발견되는 등 인프라가 공유된 흔적이 관찰됐다.
또 HTML 코드와 오류 메시지 전반에 걸친 한국어 주석 역시 북한 연계 위협 행위자와 관련성을 뒷받침하는 요소로 지목됐다. 금융·개인정보 등 민감 정보가 집중된 스마트폰을 겨냥하는 김수키의 모바일 위협 역량이 계속 진화하고 있음을 보여준다.
엔키화이트햇 연구진은 C2 서버 27.102.137[.]181에서 배포되는 악성 애플리케이션을 식별했다. 이 악성 앱은 CJ대한통운이나 옥션 등 정상 서비스는 물론, VPN 앱, 암호화폐 에어드롭 인증 시스템 등을 사칭해 피해자를 기만했다.
사용자가 PC에서 피싱 링크에 접속하면 ‘보안상의 이유로 PC에서는 이 페이지를 볼 수 없습니다’라는 문구와 함께 QR코드가 표시된다. 사용자가 모바일 기기로 이 QR코드를 스캔하면 겉보기엔 ‘보안 앱’처럼 보이는 앱 다운로드가 시작된다. 또 같은 링크를 안드로이드 기기에서 직접 열면 가짜 보안 점검 화면이 표시되며, 인증을 완료하려면 보안 앱을 설치하라는 안내가 나온다.
[자료: 엔키화이트햇]
이 캠페인은 베이스64로 인코딩된 URL과 접속 기기 유형에 따라 서로 다른 콘텐츠를 제공하는 서버측 로직을 함께 사용한다. 그 결과 보안 솔루션이나 분석자의 탐지를 더욱 어렵게 만든다.
앱이 설치된 뒤 악성코드는 여러 단계로 동작한다. 먼저 파일 접근, 전화, SMS, 위치 정보 등 광범위한 권한을 요청한다. ‘SecDelivery.apk’로 명명된 APK 파일에는 리소스 내부에 ‘security.dat’라는 이름으로 암호화된 APK가 포함돼 있다. 이전 변종이 자바 기반 XOR 복호화를 사용한 것과 달리, 이번 변종은 ‘libnative-lib.so’라는 네이티브 라이브러리를 이용해 내부에 숨겨진 APK를 복호화한다.
복호화 과정은 3단계로 구성된다. 각 바이트 값의 비트를 반전(invert)하고 5비트 왼쪽 회전(5-bit left rotation)을 적용한다. 마지막으로 4바이트 키(헥사값 541161FE)를 사용해 XOR 연산을 수행한다.
이 악성코드는 정교한 서비스 등록 절차를 통해 지속성을 확보한다. 복호화 이후 앱은 SplashActivity를 실행하고 암호화된 리소스를 로드한 다음 필요한 권한을 요청하며, 메인서비스(MainService)라는 악성 서비스를 등록한다.
지속적 동작을 위해 기기를 재부팅하거나 전원 연결 상태가 변화할 때 악성 서비스가 자동 실행되도록 인텐트 필터(intent filter)를 구성한다. AndroidManifest.xml에는 이러한 트리거가 ‘android.intent.action.BOOT_COMPLETED’, ‘android.intent.action.ACTION_POWER_CONNECTED’, ‘android.intent.action.ACTION_POWER_DISCONNECTED’로 정의돼 있다.
이어 가짜 인증 화면을 띄우고 배송 조회 번호와 인증 코드를 입력하도록 요구한다. 초기 피싱 메시지엔 하드코딩된 배송 번호 ‘742938128549’가 포함돼 있는 것으로 확인됐다.
인증이 끝나면 앱은 웹뷰로 공식 배송 조회 사이트를 표시해 사용자가 정상 앱을 설치했다고 믿게 만들고, 그 사이 악성 서비스는 백그라운드에서 은밀히 동작한다.
내장된 원격제어형 악성코드(RAT) 는 57개 명령을 지원하며 기기 전반을 포괄적으로 제어할 수 있다. C2 서버와 통신은 길이 헤더, 널 바이트, Gzip 압축 페이로드를 포함하는 형식을 사용한다.
명령 파싱 로직은 ‘10249’를 구분자(delimiter)로 활용한다. 이를 통해 오디오·비디오 녹음, 파일 관리, 위치 추적, 통화 기록 수집, 연락처 탈취, SMS 가로채기, 원격 명령 실행, 실시간 키로깅 등 다양한 기능을 수행할 수 있다.
키로거는 안드로이드 접근성 서비스를 통해 동작한다. 앱 아이콘, 패키지명, 이벤트 텍스트, 타임스탬프를 수집한다. 수집된 데이터는 압축된 뒤 베이스64로 인코딩돼 전송된다.
[여이레 기자(gore@boannews.com)]
‘DOCSWAP’ 최신 변종…네이티브 복호화 기능 추가·디코이 동작 다양화
[보안뉴스 여이레 기자] 북한 국가 연계 위협그룹 ‘김수키’가 QR코드를 무기화해 모바일 악성코드를 유포하는 등 공격 방식을 확장한 것으로 나타났다. 이들은 택배 배송 서비스를 모방한 정교한 피싱 사이트로 사용자를 유인, 악성 안드로이드 앱을 설치하도록 속였다.
17일(현지시간) 외신 매체 등에 따르면 엔키화이트햇 보안 연구진은 9월 스미싱 문자 메시지를 받고 링크를 클릭하면 가짜 배송 조회 웹사이트로 리다이렉트되는 악성 캠페인을 확인했다. 이 가짜 사이트엔 QR코드가 게시돼 있었고, 사용자가 이를 스캔하도록 유도해 스마트폰에 감염된 안드로이드 앱을 내려받게 하는 방식이었다.
[자료: 엔키화이트햇]
이 악성코드는 2025년 초 처음 조사가 이뤄진 ‘DOCSWAP’의 최신 버전으로 분석된다. 새 변종은 이전 버전에 비해 여러 개선점이 확인됐다. 새로운 네이티브 복호화 기능을 도입했고, 사용자를 속이기 위한 디코이 동작도 더 다양해졌다.
연구진은 이번 캠페인이 이전 김수키 작전들과 연계됐다는 정황도 확인했다. 명령·제어(C2) 서버 루트 디렉터리에서 독특한 문자열 ‘Million OK !!!!’가 발견되는 등 인프라가 공유된 흔적이 관찰됐다.
또 HTML 코드와 오류 메시지 전반에 걸친 한국어 주석 역시 북한 연계 위협 행위자와 관련성을 뒷받침하는 요소로 지목됐다. 금융·개인정보 등 민감 정보가 집중된 스마트폰을 겨냥하는 김수키의 모바일 위협 역량이 계속 진화하고 있음을 보여준다.
엔키화이트햇 연구진은 C2 서버 27.102.137[.]181에서 배포되는 악성 애플리케이션을 식별했다. 이 악성 앱은 CJ대한통운이나 옥션 등 정상 서비스는 물론, VPN 앱, 암호화폐 에어드롭 인증 시스템 등을 사칭해 피해자를 기만했다.
사용자가 PC에서 피싱 링크에 접속하면 ‘보안상의 이유로 PC에서는 이 페이지를 볼 수 없습니다’라는 문구와 함께 QR코드가 표시된다. 사용자가 모바일 기기로 이 QR코드를 스캔하면 겉보기엔 ‘보안 앱’처럼 보이는 앱 다운로드가 시작된다. 또 같은 링크를 안드로이드 기기에서 직접 열면 가짜 보안 점검 화면이 표시되며, 인증을 완료하려면 보안 앱을 설치하라는 안내가 나온다.
[자료: 엔키화이트햇]
이 캠페인은 베이스64로 인코딩된 URL과 접속 기기 유형에 따라 서로 다른 콘텐츠를 제공하는 서버측 로직을 함께 사용한다. 그 결과 보안 솔루션이나 분석자의 탐지를 더욱 어렵게 만든다.
앱이 설치된 뒤 악성코드는 여러 단계로 동작한다. 먼저 파일 접근, 전화, SMS, 위치 정보 등 광범위한 권한을 요청한다. ‘SecDelivery.apk’로 명명된 APK 파일에는 리소스 내부에 ‘security.dat’라는 이름으로 암호화된 APK가 포함돼 있다. 이전 변종이 자바 기반 XOR 복호화를 사용한 것과 달리, 이번 변종은 ‘libnative-lib.so’라는 네이티브 라이브러리를 이용해 내부에 숨겨진 APK를 복호화한다.
복호화 과정은 3단계로 구성된다. 각 바이트 값의 비트를 반전(invert)하고 5비트 왼쪽 회전(5-bit left rotation)을 적용한다. 마지막으로 4바이트 키(헥사값 541161FE)를 사용해 XOR 연산을 수행한다.
이 악성코드는 정교한 서비스 등록 절차를 통해 지속성을 확보한다. 복호화 이후 앱은 SplashActivity를 실행하고 암호화된 리소스를 로드한 다음 필요한 권한을 요청하며, 메인서비스(MainService)라는 악성 서비스를 등록한다.
지속적 동작을 위해 기기를 재부팅하거나 전원 연결 상태가 변화할 때 악성 서비스가 자동 실행되도록 인텐트 필터(intent filter)를 구성한다. AndroidManifest.xml에는 이러한 트리거가 ‘android.intent.action.BOOT_COMPLETED’, ‘android.intent.action.ACTION_POWER_CONNECTED’, ‘android.intent.action.ACTION_POWER_DISCONNECTED’로 정의돼 있다.
이어 가짜 인증 화면을 띄우고 배송 조회 번호와 인증 코드를 입력하도록 요구한다. 초기 피싱 메시지엔 하드코딩된 배송 번호 ‘742938128549’가 포함돼 있는 것으로 확인됐다.
인증이 끝나면 앱은 웹뷰로 공식 배송 조회 사이트를 표시해 사용자가 정상 앱을 설치했다고 믿게 만들고, 그 사이 악성 서비스는 백그라운드에서 은밀히 동작한다.
내장된 원격제어형 악성코드(RAT) 는 57개 명령을 지원하며 기기 전반을 포괄적으로 제어할 수 있다. C2 서버와 통신은 길이 헤더, 널 바이트, Gzip 압축 페이로드를 포함하는 형식을 사용한다.
명령 파싱 로직은 ‘10249’를 구분자(delimiter)로 활용한다. 이를 통해 오디오·비디오 녹음, 파일 관리, 위치 추적, 통화 기록 수집, 연락처 탈취, SMS 가로채기, 원격 명령 실행, 실시간 키로깅 등 다양한 기능을 수행할 수 있다.
키로거는 안드로이드 접근성 서비스를 통해 동작한다. 앱 아이콘, 패키지명, 이벤트 텍스트, 타임스탬프를 수집한다. 수집된 데이터는 압축된 뒤 베이스64로 인코딩돼 전송된다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
