유틸리티 앱으로 위장한 악성코드...백그라운드에서 스파이웨어 기능 활성화
감염된 기기로부터 문자 메시지, 통화 기록, 위치 정보, 내부 저장소 파일, 스크린샷, 키 입력 정보, 와이파이 네트워크 정보, 설치된 애플리케이션 목록 등 수집
북한 정부가 지원하는 해킹 그룹 ScarCruft(APT37)가 새로운 안드로이드 스파이웨어 'KoSpy'를 배포하며 한국어 및 영어 사용자들을 대상으로 한 사이버 첩보 활동을 벌이고 있는 것으로 확인됐다. 이 악성코드는 2022년 3월부터 활동이 포착됐으며, 2024년 3월에도 최신 샘플이 발견됐다. KoSpy는 공식 앱스토어인 구글 플레이스토어뿐만 아니라 APKPure 등 다양한 경로를 통해 유포된 것으로 나타났다.
유틸리티 앱으로 위장한 악성코드
KoSpy는 ‘파일 매니저(File Manager)’, ‘폰 매니저(Phone Manager)’, ‘스마트 매니저(Smart Manager)’, ‘소프트웨어 업데이트 유틸리티(Software Update Utility)’, ‘카카오 보안(Kakao Security)’ 등 정상적인 유틸리티 앱으로 위장해 배포됐다. 이들 앱은 정상적인 기능을 제공하며 사용자의 의심을 피하는 동시에 백그라운드에서 스파이웨어 기능을 활성화하는 방식으로 운영됐다.
KoSpy는 설치된 이후 문자 메시지, 통화 기록, 위치 정보, 파일, 오디오 녹음, 스크린샷 등 다양한 데이터를 수집할 수 있으며, 추가적인 플러그인을 동적으로 로드해 감시 기능을 확장할 수 있도록 설계됐다.
명령제어(C2) 서버를 통한 정보 탈취
KoSpy는 실행되면 Firebase Firestore 클라우드 데이터베이스에 접속해 악성코드의 명령제어(C2) 서버 주소를 포함한 설정 정보를 받아온다. 이 같은 2단계 C2 방식은 해커들이 쉽게 C2 주소를 변경할 수 있도록 해 탐지를 피할 수 있도록 설계됐다.
또한, KoSpy는 감염된 기기가 에뮬레이터가 아닌 실제 기기인지 확인한 뒤, 하드코딩된 특정 활성화 날짜 이후에만 작동하도록 되어 있다. 이는 악성코드가 사전 탐지되지 않도록 하기 위한 보안 전략으로 분석된다.
KoSpy는 감염된 기기로부터 문자 메시지, 통화 기록, 위치 정보, 내부 저장소 파일, 스크린샷, 키 입력 정보, Wi-Fi 네트워크 정보, 설치된 애플리케이션 목록 등을 수집할 수 있다. 또한, 오디오 녹음 및 사진 촬영 기능까지 포함하고 있어 피해자의 생활을 철저히 감시할 수 있다.
이 악성코드는 특정 시점에서 추가적인 플러그인과 설정 정보를 다운로드해 기능을 확장할 수도 있다. 다만, 현재 C2 서버가 비활성화되어 있어 플러그인의 정확한 역할은 밝혀지지 않았다.
기존 북한 해킹 그룹과의 연관성...킴수키가 이전에 사용했던 캠페인과 유사
연구진은 KoSpy의 공격 인프라가 북한 해킹 그룹인 ‘킴수키(Kimsuky, APT43)’가 이전에 사용했던 캠페인과 유사한 점이 있다고 지적했다. 이는 북한의 사이버 첩보 조직들이 특정 기술과 인프라를 공유하거나 협력할 가능성을 시사한다.
구글은 KoSpy가 포함된 악성 앱을 플레이스토어에서 삭제했으며, 최신 발견된 악성코드 샘플은 사용자 설치 이전에 차단했다고 밝혔다. 또한, 안드로이드 기기에서 제공되는 ‘구글 플레이 프로텍트(Google Play Protect)’ 기능을 통해 해당 악성코드를 자동 탐지하고 제거할 수 있도록 조치했다.
구글 측은 악성 앱이 특정 지역의 언어를 사용한 점을 근거로 이번 공격이 특정 대상에 초점을 맞춘 표적형 캠페인일 가능성이 크다고 분석했다.
사이버 보안 전문가들은 악성코드 감염을 방지하기 위해 사용자들이 신뢰할 수 있는 앱만 설치하고, 과도한 권한을 요구하는 앱에 주의해야 한다고 강조했다. 특히, 앱을 다운로드하기 전에 개발자 정보를 확인하고, 리뷰를 분석하는 것이 중요하다.
또한, 운영체제와 애플리케이션을 항상 최신 버전으로 업데이트해 보안 취약점을 최소화해야 하며, 신뢰할 수 있는 모바일 보안 솔루션을 사용하는 것도 효과적인 대응책이다.
이번 KoSpy 캠페인은 국가 지원 해킹 그룹이 모바일 환경을 타깃으로 지속적으로 진화하고 있음을 보여주고 있다. 특히, 북한 해커들은 탐지를 피하기 위해 정교한 유포 방식과 다단계 명령제어 방식을 활용하고 있어, 사용자들은 모바일 보안 위협에 대해 지속적인 경각심을 가질 필요가 있다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
