KosPy: 전 세계 안드로이드를 공격한 북한 스파이웨어에 대한 모든 것

  • KosPy는 Google Play 스토어와 대체 스토어의 사기성 앱을 통해 배포되는 고급 스파이웨어입니다.
  • 이 맬웨어는 APT37(ScarCruft)과 APT43(Kimsuky) 등 북한 국영 사이버 간첩 조직과 연관이 있는 것으로 나타났습니다.
  • 이 악성코드는 개인 데이터, 메시지, 통화 내용, 위치 정보를 유출하고, 중요한 휴대폰 기능을 제어했으며, Lookout 전문가의 경고 후 제거되었습니다.
Joaquin Romero

9 분

북한의 스파이웨어인 KosPy에 대해 알아보세요.

북한이 조직한 정교한 디지털 스파이 활동이 감지된 이후, 안드로이드 기기 보안이 다시 주목을 받고 있습니다. 이 복잡한 음모의 주인공은 KosPy입니다. 이는 합법적인 애플리케이션으로 위장한 스파이웨어로, 전 세계 수천 대의 휴대전화를 감염시켜 다양한 국가의 사용자로부터 개인 및 기밀 데이터를 수집합니다. 이 광범위한 기사에서는 KosPy에 대해 알려진 모든 것을 알아보겠습니다. 출처, 유포 방식, 기술적 역량부터 확산을 막기 위해 취한 조치까지 다루고, 앞으로 이와 유사한 위협으로부터 자신을 보호하기 위한 유용한 권장 사항도 함께 소개합니다.

Google Play Store나 다른 플랫폼에서 파일을 관리하거나 Android 보안을 강화하기 위한 앱을 다운로드한 적이 있다면, 이는 여러분에게 큰 관심사가 될 것입니다. 이 스파이웨어가 어떻게 보안 통제를 회피했는지, 어떤 종류의 정보를 수집할 수 있었는지, 왜 북한 정보 기관과 관련된 위협으로 간주되는지, 그리고 너무 늦기 전에 경고 신호를 발견하는 방법을 살펴보겠습니다.

KosPy란 무엇이고, 누가 그것을 운영하고 있나요?

KosPy는 안드로이드 기기에서 감지된 스파이웨어 프로그램으로, 북한 국가 지원 사이버 간첩 조직과 직접적으로 연결되어 있습니다. 모바일 기기 위협을 전문으로 하는 사이버 보안 회사인 Lookout 팀은 이 맬웨어가 Google Play 스토어와 APKPure와 같은 타사 앱 스토어에서 제공되는 겉보기에 무해한 앱에 호스팅된다는 사실을 문서화했습니다.

WhatsApp에서 라이브 사진을 보내는 방법
관련 기사 :
WhatsApp, 모바일 보안을 해치는 스파이웨어에 대해 경고

KosPy는 주로 다음과 같은 그룹에 기인합니다. APT37 또는 ScarCruft10년 이상 북한 정부와 연계하여 사이버 간첩 활동을 벌인 것으로 널리 알려져 있습니다. 그뿐만이 아닙니다. KosPy가 사용하는 디지털 인프라는 또 다른 유명 그룹인 Kimsuky(APT43)와 연결돼 있습니다.이는 국가 행위자만이 감당할 수 있는 수준의 조정과 기술적 자원을 보여줍니다.

북한이 개발한 스파이웨어 '코스파이' 조심하세요

배포 방법: KosPy가 수천 대의 안드로이드에 침투한 방법

KosPy의 가장 큰 독창성(이자 위험)은 확산 방식에 있습니다. 즉, Google의 엄격한 통제를 극복하고 마치 진짜 앱인 것처럼 몰래 침투한 것입니다.공식 앱 스토어에 대한 신뢰를 위험에 빠뜨리는 문제입니다.

가장 주목할 만한 기술은 다음과 같습니다.

  • 유틸리티 도구로 위장한 사기성 애플리케이션 (파일 관리자, 소프트웨어 업데이트 유틸리티, 보안 강화 기능 등).
  • 존재 영어와 한국어로 된 기본 인터페이스와 제목특정 대상 고객을 타겟으로 합니다.
  • 앱에 KosPy 포함하기 «휴대폰 관리자 (전화 관리자)», «파일 관리자«,«스마트 매니저 (스마트 매니저)», «카카오시큐리티 (카카오시큐리티)» 및 «소프트웨어 업데이트 유틸리티". 이들 모두는 Google Play Store에서 합법적으로 승인되었으며 APKPure에서도 복제되었습니다.
  • 플랫폼 조작 명령 및 제어 인프라로서의 Firebase (C2) 앱이 피해자의 기기에 설치되면 추가 구성을 동적으로 다운로드합니다.

이러한 앱을 개발한 사람은 "Android Utility Developer"라는 가명으로 활동했으며, 눈에 띄지 않게 연락처 이메일 주소까지 제공했습니다. 연구원들의 경고에 따라 Google은 감염된 앱을 모두 스토어에서 삭제했을 뿐만 아니라 관련 Firebase 프로젝트도 비활성화하여 손상된 기기와 사이버 범죄자의 서버 간의 통신 채널을 차단했습니다.

KosPy는 기기를 감염시킨 후 어떻게 작동합니까?

KosPy와 관련된 주요 우려 사항은 수집할 수 있는 데이터의 범위가 넓고 추출 방법이 정교하다는 점입니다. 이러한 가짜 앱 중 하나를 열면 KosPy가 백그라운드에서 실행되어 감지되지 않도록 악성 코드를 내장하고 상승된 액세스 권한을 요청합니다.

스파이웨어의 가장 중요한 기술적 기능은 다음과 같습니다.

  • SMS 메시지 읽기 및 추출.
  • 의 획득 통화 기록 및 연락처.
  • GPS 위치 모니터링, 실시간 사용자 추적.
  • 에 액세스 휴대폰에 로컬로 저장된 파일 및 폴더.
  • 녹음 주변 오디오 마이크를 사용하여 사진 촬영 카메라를 통해.
  • 캡처 스크린샷 및 화면 녹화문자 그대로 모바일에서 보이는 모든 것, 행해지는 모든 것을 감시하는 것입니다.
  • 접근성 서비스를 활용하여 키 입력 및 앱 사용 기록비밀번호와 자격 증명을 가로챌 수 있는 가능성이 있습니다.
  • 에 대한 정보를 얻다 장치가 연결되는 WiFi 네트워크설치된 앱 목록.

데이터는 북한 해커가 제어하는 ​​C2 서버로 암호화(사전 정의된 AES 알고리즘 사용)되어 전송되므로 기존 탐지 방법으로는 정보 유출을 식별하기 어렵습니다.

KosPy는 누구를 타겟으로 했나요?

KosPy는 전 세계적으로 확산되었지만, 대부분의 공격은 한국인과 영어권 사용자를 표적으로 삼았습니다.. 앱의 언어와 요청된 권한은 잠재적인 피해자를 걸러내는 데 사용된 단서 중 하나였으며, 이들은 명백히 한국과 영어권 국가를 표적으로 삼았습니다. 그러나 분석에서는 일본, 베트남, 러시아, 네팔, 중국, 인도, 쿠웨이트, 루마니아 및 여러 중동 국가를 포함한 다른 지역의 감염 사례도 자세히 설명합니다.

이는 다음을 나타냅니다. 국제적 수준의 전략적 관심관련 개인 정보에 접근하거나 정치, 사업 또는 기술 동향을 감시하기 위해서입니다.

Airtag를 사용하여 Android 모바일 감시
관련 기사 :
Airtag를 사용하여 Android 모바일 감시

캠페인 진화와 Google의 반응

최초로 기록된 코스파이의 움직임은 2022년 XNUMX월로 거슬러 올라가지만, 가장 최근의 샘플은 작년 초로 거슬러 올라갑니다.. Google과 Lookout에 따르면, 해당 맬웨어의 존재가 확인되자 관련 앱은 모두 Play 스토어에서 삭제되었습니다. 또한, 현재 Google Play Protect는 공식 스토어 외부에서 다운로드한 경우에도 알려진 KosPy 변종의 설치를 차단하고 있습니다.

그러나, 철회 전에 얼마나 많은 다운로드가 발생했는지, 또는 얼마나 많은 변종이 감지되지 않고 유포되었는지에 대한 공개된 데이터는 없습니다.. 따라서 앱 권한을 적극적으로 모니터링하고, Android와 모든 앱을 최신 보안 버전으로 업데이트하는 것이 좋습니다.

코스파이, 스카크러프트(APT37), 김수키(APT43)와 북한 정보기관의 관계

KosPy가 북한 국가 사이버 간첩 활동의 소행이라는 주장은 다음과 같은 몇 가지 기술적, 인프라적 세부 사항으로 뒷받침됩니다.

  • 사용된 인프라(C2 서버의 IP 주소 및 도메인)는 적어도 2019년 이후 북한에 기인한 이전 공격에 사용된 바 있습니다.
  • 악성 애플리케이션은 ScarCruft/APT37 캠페인과 기술, 전술 및 절차(TTP)를 공유합니다.
  • 일부 코드와 인프라가 Kimsuky/APT43과 연결되어 두 그룹 간의 협업 또는 리소스 공유 가능성을 시사합니다.
  • 도난당한 정보의 언어, 지역적 초점, 유형은 북한 정보기관과 전통적으로 연관된 이해관계와 일치합니다.

북한 APT 그룹 간에 방법과 목표가 중복되는 경우가 있어 특정 공격의 출처를 100% 정확하게 파악할 수 없는 경우도 있지만, 보안 전문가에게는 출처가 명확합니다.

가장 관련성 높은 감염된 애플리케이션 목록

Android에 설치한 앱에 대해 궁금한 점이 있으면 Lookout 보고서와 미디어에서 보도한 다음 앱 이름을 확인하세요.

  • 휴대폰 관리자 (Phone Manager)
  • 파일 관리자
  • 스마트관리자(스마트매니저)
  • 카카오시큐리티
  • 소프트웨어 업데이트 유틸리티

이 앱은 다음 두 가지로 배포되었습니다. 구글 Play 스토어 플랫폼에서와 같이 APKPure와 같은 대안을 다운로드하세요. 기기에서 이러한 내용을 발견하면 앱을 즉시 삭제하고 모든 비밀번호를 변경하세요. 또한 평판이 좋은 앱으로 보안 검사를 실행하세요.

관련 기사 :
스마트 폰을위한 최고의 스파이 소프트웨어 XNSPY

코스파이는 어떤 정보를 훔쳤고, 어떻게 훔쳤는가?

KosPy가 수집한 데이터의 접근 수준과 양은 일반적인 모바일 맬웨어의 수준을 훨씬 넘어섭니다. 추출된 정보는 다음과 같습니다.

  • 문자 메시지(SMS 및 기타 메시징 서비스)
  • 통화 기록의 전체 세부 정보: 번호, 기간, 시간 및 날짜
  • 모바일의 실시간 위치 좌표
  • 내부 저장소의 문서, 이미지 및 파일
  • 마이크에서 수집된 소리: 대화, 분위기 등
  • 배경에서 카메라가 활성화된 상태에서 촬영한 사진
  • 화면 캡처 및 녹화를 통해 사용자가 본 모든 내용이나 입력한 모든 내용을 볼 수 있습니다.
  • 접근성 권한을 남용하는 키로깅
  • Wi-Fi 네트워크 정보 및 설치된 앱 목록

또한, 이 모든 정보는 보호된 채널을 통해 암호화되어 명령 및 제어(C2) 서버로 전송되었습니다.이로 인해 기존의 바이러스 백신 도구로는 감지하기 어려웠습니다.

KosPy와 같은 함정에 빠지지 않기 위한 핵심 팁

KosPy를 발견한 전문가와 분석가들은 Google Play 스토어에서만 앱을 설치하더라도 절대적인 보안이 보장되지 않으므로 극도로 주의해야 한다고 권고했습니다. 팁은 다음과 같습니다.

  • 항상 앱의 리뷰와 평점을 확인하고, 댓글이 적거나 부정적인 평점이 있는 앱은 조심하세요.
  • 개발자의 이름을 확인하고, 개발자에 대한 추가 정보를 찾아보고, 신뢰할 수 있고 인정받는 기관인지 확인하세요.
  • 다운로드 수에 주의하세요. 앱이 새롭거나 다운로드 속도가 매우 낮은 경우 특히 주의하세요.
  • 대부분의 보안 취약점은 공식 패치를 통해 해결되므로, 운영 체제와 애플리케이션을 항상 최신 상태로 유지하세요.
  • 각 앱에 필수적인 권한만 부여하세요. 파일 관리 애플리케이션이 마이크나 카메라에 대한 접근을 요청하는 경우 경고해야 합니다.
  • 확인된 감염된 앱이 설치되어 있다면 즉시 제거하고 비밀번호를 변경한 후 전체 보안 검사를 수행하세요.
  • 보호 수준과 지속적인 모니터링을 강화하려면 신뢰할 수 있는 모바일 보안 솔루션을 설치하는 것을 고려하세요.

전 세계적인 대응과 현재 상황

KosPy에 대한 광범위한 미디어 보도와 Lookout이 주도한 조사에 따라 Google은 제어 및 Play Protect 시스템을 강화하여 이 스파이웨어의 알려진 모든 변종을 차단하고 제거했습니다. 더욱이, 사이버 보안 회사와 기술 거대 기업 간의 국제적 협력은 이러한 위협이 널리 퍼지기 전에 무력화하는 데 중요합니다.

KosPy가 삭제된 이후 Google Play 스토어를 통한 새로운 대량 감염 사례는 발생하지 않았지만 공격자가 끊임없이 기술을 발전시키고 있으므로 경계를 늦추지 않는 것이 중요합니다.

KosPy의 발견은 안드로이드 생태계에서 디지털 간첩 활동이 점점 더 정교해지고 있음을 보여주며, 누구도 피해자가 되지 않을 수 없다는 사실을 보여줍니다. ScarCruft, Kimsuky와 같은 해커 그룹과 국가 행위자 간의 협력, 공식 스토어의 악용, 겉보기에 무해한 앱으로 위장할 수 있는 능력은 디지털 보호에 대한 사전 예방적 접근 방식을 유지하는 것의 중요성을 강조합니다.

안드로이드를 스파이 카메라로 바꾸는 방법
관련 기사 :
안드로이드를 스파이 카메라로 바꾸는 방법

적극적인 모니터링, 허가에 대한 중요한 분석, 지속적인 업데이트는 이러한 위협을 막는 가장 좋은 장벽입니다. 다른 사용자도 소식을 알 수 있도록 정보를 공유하세요..


Google 뉴스에서 팔로우