카스퍼스키랩 연구진은 지난 몇 년 동안 중동 지역의 안드로이드 기기 사용자를 노려온 정교한 사이버 스파이 캠페인 ‘주파크(ZooPark)’를 발견했다고 밝혔다.

합법적인 정상 웹사이트를 감염 경로로 활용한 주파크는 국가 차원의 지원을 받아 중동의 정치 단체, 사회 운동가 및 기타 표적을 노리고 공격을 전개한 것으로 보인다.

주파크는 처음에는 기술적으로 아주 단순한 사이버 스파이 악성코드로 보였지만 추가 조사 결과 훨씬 정교한 최신 버전이 발견되고 있다고 업체 측은 설명했다.

주파크 악성 앱 가운데 몇몇은 중동 일부 지역에서 인기있는 뉴스 및 정치 웹사이트를 통해 유포됐다. 이런 앱들은 ‘텔레그램그룹(TelegramGroups)’나 ‘알나하르이집트 뉴스(Alnaharegypt news)'와 같은 이름을 달고서 정상적인 앱인 것처럼 위장해 일부 중동 국가에서 잘 알려진 앱 가운데 숨겨져 있었다.

악성코드에 감염된 후에는 공격자가 피해자의 모바일 기기에서 연락처나 계정 데이터, 사진 같은 데이터를 유출하거나, 사용자 모르게 문자를 전송하고나 통화 발신하는 백도어 기능을 수행할 수 있다.

여기에 텔레그램, 왓츠앱(WhatsApp) IMO와 같은 메신저, 웹 브라우저 및 기타 앱을 노리는 기능이 새롭게 추가돼 공격자가 감염된 앱의 내부 데이터베이스를 훔칠 수도 있다. 예를 들어 웹 브라우저가 공격을 받으면 저장되어 있던 다른 웹사이트의 자격증명이 유출될 수 있는 것이다.

조사 결과 공격자는 이집트, 요르단, 모로코, 레바논, 이란의 사용자를 주로 노린 것으로 보인다. 공격자가 피해자를 유인하기 위해 미끼로 활용한 뉴스의 주제나 제목으로 미루어보아 국제연합 팔레스타인 난민 구호기구의 회원이 주파크 악성코드의 주요 표적인 것으로 추정된다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “해킹 집단은 모바일 사용자를 손쉽게 추적할 수 있는 도구를 개발하고 있다”며, “중동 지역의 사용자를 대상으로 사이버 스파이 노릇을 한 주파크 APT가 바로 대표적인 예다”고 말했다.

카스퍼스키랩 연구진이 발견한 주파크군에 해당하는 사이버 스파이 악성코드는 최소한 2015년 이후에 활동을 시작해 4차례 이상 업데이트된 것으로 보인다. 이러한 주파크 악성코드도 카스퍼스키랩 제품으로 탐지해 차단할 수 있다. editor@itworld.co.kr

원문보기: http://www.itworld.co.kr/news/109269#csidx4c9148df5726f44aa9c4c45cd4cbea9