143개국 안드로이드 사용자 대상의 대규모 스파이 활동
텔레그램이나 디스코드에 링크 게시하거나 파일 공유 사이트 통해 유포
[보안뉴스 원병철 기자] 유튜브(YouTube)와 인스타그램(Instagram), 틱톡(TikTok)으로 위장한 ‘Arsink’ 스파이웨어가 143개국에 침투한 정황이 발견됐다.
[출처: gettyimagesbank]
글로벌 보안기업 짐페리움(Zimperium)은 유튜브와 인스타그램을 포함한 50개 이상의 유명 브랜드를 사칭하는 위험한 안드로이드 트로이목마인 Arsink를 발견했다고 밝혔다. 143개국에서 4만5000명 이상의 피해자를 발생시킨 이 악성 프로그램은 해커에게 음성 녹음, 문자 메시지 열람, 기기 데이터 삭제 등 완전한 원격 제어 권한을 부여한다.
Arsink는 원격 접속 트로이목마(RAT)로 짐페리움 산하의 zLabs 팀이 1216개의 서로 다른 변종 악성 소프트웨어를 조사하면서 이 위협을 알아냈다.
이번 공격 캠페인에서 흥미로운 점은 해커들이 공식 구글 플레이 스토어를 이용해 악성코드를 유포하는 것이 아니라, 텔레그램이나 디스코드에 링크를 게시하거나 파일 공유 사이트인 미디어파이어를 이용한다는 점이다.
이들은 기본적으로 앱의 ‘프로’ 또는 ‘모드’ 버전을 제공하며, 정식 앱에는 없는 특별한 기능을 제공한다고 광고한다. 하지만 다운로드하는 순간, 앱은 곧바로 긴 권한 목록을 요구한다.
하지만 이러한 앱들은 설치되는 즉시 아이콘을 숨기고 백그라운드에서 작동하는 동안 보이지 않게 유지되는 경우가 많다. 특히 일부 버전은 앱 내부에 숨겨진 두 번째 ‘페이로드’를 포함하고 있어, 사용자가 오프라인 상태일 때도 악성코드가 휴대전화를 감염시킬 수 있다.
Arsink가 시스템에 침투하면 ‘지속적인 백그라운드 서비스’를 시작해 절대 꺼지지 않도록 한다. 짐페리움은 마이크를 통해 대화를 도청하고 사진을 훔치는 기능, 주고받은 모든 문자 메시지를 읽는 기능, 연락처, 통화 내역, 심지어 구글 계정 이메일까지 볼 수 있는 기능이 Arsink에 포함됐다고 설명했다.
더욱 심각한 것은 해커들이 사용자의 기기에 실시간으로 명령을 내릴 수 있다는 점이다. 뿐만 아니라, 휴대전화로 전화를 걸도록 강제하고, 정확한 위치를 추적하며, 심지어 저장 공간 전체를 완전히 삭제하는 ‘데이터 삭제’까지 할 수 있다고 짐페리움은 지적했다. 이 모든 과정이 끝난 후, 사용자의 개인 데이터는 파이어베이스, 텔레그램 봇, 구글 드라이브의 숨겨진 폴더 등 317개의 서로 다른 데이터베이스 경로를 통해 해커들에게 조용히 전송된다.
이 문제는 전 세계에서 발생했다. 감염은 광범위한 지역에 퍼져 있으며, 현재까지 약 4만5000대의 기기가 감염됐다. 가장 큰 피해를 입은 지역은 이집트(약 1만3000대)와 인도네시아(7000대), 그리고 이라크(3000대)다.
짐페리움은 “Arsink는 특정 지역을 겨냥한 캠페인이라기보다는, 브랜드 사칭과 소셜 플랫폼을 활용해 전 세계적으로 침투하는 대규모 위협”이라고 결론지었다.
아울러 이들은 “구글과 협력해 공격과 관련된 악성 계정과 데이터베이스를 차단했지만, 위협은 완전히 사라진 것은 아니며, 공격자들은 기존 공격 거점이 폐쇄되는 속도만큼이나 빠르게 새로운 공격 거점을 마련할 수 있다”면서, “안전을 위해 공식 앱 스토어에서만 앱을 다운로드하고, 소셜 미디어에서 볼 수 있는 무료 앱은 사용하지 않는 것이 좋다”고 강조했다.
[원병철 기자(boanone@boannews.com)]
텔레그램이나 디스코드에 링크 게시하거나 파일 공유 사이트 통해 유포
[보안뉴스 원병철 기자] 유튜브(YouTube)와 인스타그램(Instagram), 틱톡(TikTok)으로 위장한 ‘Arsink’ 스파이웨어가 143개국에 침투한 정황이 발견됐다.
[출처: gettyimagesbank]
글로벌 보안기업 짐페리움(Zimperium)은 유튜브와 인스타그램을 포함한 50개 이상의 유명 브랜드를 사칭하는 위험한 안드로이드 트로이목마인 Arsink를 발견했다고 밝혔다. 143개국에서 4만5000명 이상의 피해자를 발생시킨 이 악성 프로그램은 해커에게 음성 녹음, 문자 메시지 열람, 기기 데이터 삭제 등 완전한 원격 제어 권한을 부여한다.
Arsink는 원격 접속 트로이목마(RAT)로 짐페리움 산하의 zLabs 팀이 1216개의 서로 다른 변종 악성 소프트웨어를 조사하면서 이 위협을 알아냈다.
이번 공격 캠페인에서 흥미로운 점은 해커들이 공식 구글 플레이 스토어를 이용해 악성코드를 유포하는 것이 아니라, 텔레그램이나 디스코드에 링크를 게시하거나 파일 공유 사이트인 미디어파이어를 이용한다는 점이다.
이들은 기본적으로 앱의 ‘프로’ 또는 ‘모드’ 버전을 제공하며, 정식 앱에는 없는 특별한 기능을 제공한다고 광고한다. 하지만 다운로드하는 순간, 앱은 곧바로 긴 권한 목록을 요구한다.
하지만 이러한 앱들은 설치되는 즉시 아이콘을 숨기고 백그라운드에서 작동하는 동안 보이지 않게 유지되는 경우가 많다. 특히 일부 버전은 앱 내부에 숨겨진 두 번째 ‘페이로드’를 포함하고 있어, 사용자가 오프라인 상태일 때도 악성코드가 휴대전화를 감염시킬 수 있다.
Arsink가 시스템에 침투하면 ‘지속적인 백그라운드 서비스’를 시작해 절대 꺼지지 않도록 한다. 짐페리움은 마이크를 통해 대화를 도청하고 사진을 훔치는 기능, 주고받은 모든 문자 메시지를 읽는 기능, 연락처, 통화 내역, 심지어 구글 계정 이메일까지 볼 수 있는 기능이 Arsink에 포함됐다고 설명했다.
더욱 심각한 것은 해커들이 사용자의 기기에 실시간으로 명령을 내릴 수 있다는 점이다. 뿐만 아니라, 휴대전화로 전화를 걸도록 강제하고, 정확한 위치를 추적하며, 심지어 저장 공간 전체를 완전히 삭제하는 ‘데이터 삭제’까지 할 수 있다고 짐페리움은 지적했다. 이 모든 과정이 끝난 후, 사용자의 개인 데이터는 파이어베이스, 텔레그램 봇, 구글 드라이브의 숨겨진 폴더 등 317개의 서로 다른 데이터베이스 경로를 통해 해커들에게 조용히 전송된다.
이 문제는 전 세계에서 발생했다. 감염은 광범위한 지역에 퍼져 있으며, 현재까지 약 4만5000대의 기기가 감염됐다. 가장 큰 피해를 입은 지역은 이집트(약 1만3000대)와 인도네시아(7000대), 그리고 이라크(3000대)다.
짐페리움은 “Arsink는 특정 지역을 겨냥한 캠페인이라기보다는, 브랜드 사칭과 소셜 플랫폼을 활용해 전 세계적으로 침투하는 대규모 위협”이라고 결론지었다.
아울러 이들은 “구글과 협력해 공격과 관련된 악성 계정과 데이터베이스를 차단했지만, 위협은 완전히 사라진 것은 아니며, 공격자들은 기존 공격 거점이 폐쇄되는 속도만큼이나 빠르게 새로운 공격 거점을 마련할 수 있다”면서, “안전을 위해 공식 앱 스토어에서만 앱을 다운로드하고, 소셜 미디어에서 볼 수 있는 무료 앱은 사용하지 않는 것이 좋다”고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
