소수민족 감시하는 안드로이드 스파이웨어 새롭게 발견돼

2020-07-02 17:42
  • 카카오톡
  • 네이버 블로그
  • url
실크빈, 골든이글, 카본스틸...오늘날까지 한 번도 공개된 적 없는 감시 도구
캠페인 거슬러 올라가니 2012~2013년...중국 정부의 오랜 감시 노력으로 의심돼


[보안뉴스 문가용 기자] 안드로이드 생태계에서 처음으로 발견되는 감시 도구들의 정체가 드러났다. 이 도구들은 2013년부터 사용되어 온 것으로 보이며, 위구르족을 감시하기 위해 만들어진 것으로 분석됐다. 이 도구들의 이름은 실크빈(SilkBean), 골든이글(GoldenEagle), 카본스틸(CarbonSteal)이다. 그 외 같은 캠페인에서 더블에이전트(DoubleAgent)라는 멀웨어가 함께 사용되어 왔다는 것도 발견됐다.


[이미지 = utoimage]

이 캠페인을 발견한 보안 업체 룩아웃(Lookout)은 보고서를 통해 “이 도구들은 여러 버전의 형태로 존재하고 있는데, 거의 전부 정상적인 앱을 감염시킨 형태로 배포되고 있었다”고 한다. 캠페인의 출처는 중국인 것으로 강력히 의심되며, 위구르족만이 아니라 티베트인들을 노린 것이기도 하다.

위구르족이 표적이 되고 있다고 의심되는 이유는 이 멀웨어들이 위장에 사용한 앱들 때문이다. 위구르족들 사이의 음악 서비스인 사르쿠이(Sarkuy), 위구르족들이 사용하는 의약품 관련 앱인 티비아와(TIBBYAWHAR), 위구르족들이 자주 사용하는 전자상거래 사이트인 타와림(Tawarim) 등이 대표적이다. 공격자들은 표적형 피싱 공격이나 서드파티 앱 스토어를 통해 해당 앱들을 설치하도록 유도한 뒤 정찰을 했을 것으로 보인다.

감시와 정찰에 활용된 안드로이드 멀웨어 네 개(첫 문단에 언급됨)는 각각 다른 정보를 우선적으로 취합하며, 따라서 서로 다른 기술들을 활용하는 것으로 분석됐다. 전부 같은 C&C 인프라를 활용하고 있었으며, 같은 인증서를 통해 서명되어 있기도 했다. 이 멀웨어들의 특징을 간략히 정리하면 다음과 같다.

1) 실크빈 : 위구르족과 아라비아어 구사자들이 사용하는 앱들을 통해 배포됨. 종합적인 RAT 기능을 탑재하고 있음. 공격자가 무려 70개가 넘는 명령을 실행할 수 있게 함.

2) 더블에이전트 : 2013년에 처음 공개된 도구. 이번에 발견된 건 새로운 샘플. 처음 샘플에 비해 여러 면에서 진화된 모습을 보임. 초기 버전은 FTP 서버를 사용해 정보를 빼냈다면, 지금은 TCP 소켓을 통해 C&C 서버로 업로드 함. 위구르족이 자주 사용하는 안드로이드 앱을 통해 퍼짐.

3) 카본스틸 : 2017년부터 룩아웃이 추적해오고 이번에 처음 공개함. 현재까지 500개의 샘플이 발견됐음. 음성 녹음에 특화된 기능을 가지고 있음. 다양한 코덱을 통해 여러 오디오 포맷을 지원함. 특수하게 조작한 SMS 메시지를 통해 감염된 장비를 제어함.

4) 골든이글 : 최소 2012년부터 사용되어 온 것으로 보임. 현재까지 룩아웃이 발견한 안드로이드용 감시 도구 중 가장 오래된 것으로 꼽힘. 다양한 정찰 및 감시 기능을 가지고 있고, 위챗(WeChat)이라는 중국 SNS 플랫폼을 통해서도 메시지를 전달 받을 수 있음.

일부 샘플의 날짜를 역추적하면, 이 감시 캠페인이 꽤나 긴 시간 이어졌다는 걸 알 수 있다고 룩아웃은 설명했다. 공격자들은 그 시간 동안 최소 14개 국가에서 공격 캠페인을 펼쳤다고 한다. 중국 내 거주하는 위구르족이나 티베트인들이 아니라 중국 영토 바깥에 있는 자들도 감시 대상이었다는 것이다. 특히 터키, 시리아, 쿠웨이트에서 공격자들의 흔적이 발견되었다.

공격자들은 중국의 APT 단체인 그레프(GREF)인 것으로 추정된다고 한다. 그레프는 APT15, 켑창(Ke3chang), 미라지(Mirage), 빅슨판다(Vixen Panda), 플레이풀드래곤(Playful Dragon) 등의 이름으로도 불린다. 룩아웃은 과거 그레프의 공격 인프라로 알려진 것이 이번 캠페인에 활용되고 있었다고 그 근거를 댄다. 게다가 중국 정부의 위구르족과 티베트인 탄압은 전 세계적으로 악명이 높고, 각종 인권 단체의 비판 대상이 되고 있는 것도 사실이다.

3줄 요약
1. 위구르족과 티베트인 등 소수민족 겨냥한, 오래된 감시 캠페인 발견됨.
2. 캠페인과 함께 세 개의 안드로이드용 감시 도구도 최초로 공개됨.
3. 배후에는 APT15가 있을 것으로 의심됨. 과거 공격 인프라와 겹치기 때문.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기