가온아이 비아이매트릭스 비젠트로 아이티콤 엠투소프트 지티원 티맥스소프트 토마토시스템 포시에스 핸디소프트 데이터스트림즈 알티베이스 나무기술 알서포트 위엠비 엔키아 인프라닉스 마크애니 스콥정보통신 이글루시큐리티 지란지교시큐리티 파수닷컴 피앤피시큐어
12.18
뉴스홈 > 보안/해킹
신종 안드로이드 악성코드 ‘주팍’, 정상 웹사이트 통해 유포카스퍼스키랩, “국가 차원 지원 받아 중동 정치단체 및 사회운동가 등 표적 공격”

   
 
[아이티데일리] 합법적인 정상 웹사이트를 감염경로로 활용하는 신종 안드로이드 악성코드 ‘주팍(ZooPark)’이 발견돼 주의가 요구된다. ‘주팍’은 주로 중동지역을 중심으로 발견됐으며, 국가차원의 지원을 받아 중동의 정치단체 및 사회운동가 등을 타깃으로 공격을 전개한 것으로 보인다.

11일 카스퍼스키랩(한국지사장 이창훈)은 지난 몇 년 간 중동지역의 안드로이드 기기 사용자를 노린 정교한 사이버스파이 캠페인인 ‘주팍’을 자사 연구진이 발견했다며 이같이 밝혔다.

카스퍼스키랩 발표에 따르면 ‘주팍’은 기술적으로 단순한 사이버스파이 악셩코드였지만, 추가조사 결과 정교한 최신버전이 유포되고 있는 것으로 나타났다. ‘주팍’의 일부는 중동 일부 지역에서 인기 있는 뉴스 및 정치 웹사이트를 통해 유포됐다. 이 일부 악성코드는 ‘텔레그램그룹(TelegramGroups)’나 ‘알나하르이집트 뉴스(Alnaharegypt news)’와 같은 이름으로 정상적인 앱으로 위장했다.

‘주팍’은 피해자 기기에 설치되면 데이터 유출 및 백도어 역할을 수행한 것으로 조사됐다. ‘주팍’은 모바일 기기에 저장된 사용자의 ▲연락처 ▲계정데이터 ▲통화기록 및 통화 녹음 파일 ▲사진 ▲GPS 위치 정보 ▲문자 메시지 ▲설치된 앱 정보 및 브라우저 데이터 ▲키로그 및 클립보드 데이터 등을 유출한다.

또한, 백도어 기능으로 사용자 모르게 문자 메시지 전송 및 통화 발신과 셀명령 실행 등을 수행한다. 여기에 ‘텔레그램’, ‘왓츠앱(WhatsApp) IMO’와 같은 메신저, 웹 브라우저 및 기타 앱을 노리는 기능이 새롭게 추가돼 공격자가 감염된 앱의 내부 데이터베이스를 훔칠 수도 있다.

조사 결과 공격자는 이집트, 요르단, 모로코, 레바논, 이란의 사용자를 주로 노린 것으로 보인다. 공격자가 피해자를 유인하기 위해 미끼로 활용한 뉴스의 주제나 제목으로 미뤄보아 국제연합 팔레스타인 난민 구호기구의 회원이 ‘주팍’의 주요 표적인 것으로 추정된다.

이창훈 카스퍼스키랩코리아 지사장은 “오늘날 모바일 기기는 사람들에게 주요 통신 수단 또는 유일한 통신 수단으로 자리 잡았고, 이 점을 활용해 해킹집단은 모바일 사용자를 손쉽게 추적할 수 있는 도구를 개발하고 있다”며, “중동 지역의 사용자를 대상으로 사이버 스파이 노릇을 한 ‘주팍’이 대표적인 예로, 불행히도 이런 악성코드가 ‘주팍’ 하나만 있지는 않을 것”이라고 말했다.

한편, 카스퍼스키랩 연구진은 ‘주팍’ 군에 해당하는 사이버스파이 악성코드가 최소한 2015년 이후에 활동을 시작해 4차례 이상 업데이트된 것으로 판단했다. ‘주팍’은 카스퍼스키랩 제품으로 탐지 및 차단할 수 있다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오