한 연구팀은 오늘 이란의 위협 행위자에 의해 개발된 안드로이드 스파이웨어 임플란트의 이전에 공개되지 않은 기능을 공개했는데, 이 기능은 인기 있는 인스턴트 메시징 앱의 사적인 대화를 감시하고, 와이파이 연결을 강제하고, 비공개 채팅을 감시하기 위한 목적으로 특정 번호의 자동 응답 전화를 받을 수 있게 한다.
미 재무부는 지난 9월 이란의 정보보호부(MOIS)가 지원하는 이란의 위협 행위자 APT39(일명 Chafer, ITG07, Remix Kitten)에 대해 통신 및 여행 분야의 반체제 인사, 언론인, 국제 기업 등을 대상으로 악성코드 캠페인을 벌인 혐의로 제재를 가했다.
이번 제재와 맞물려 연방수사국(FBI)은 APT39 그룹이 행하는 악의적인 사이버 활동의 전선으로 작동한 라나 인텔리전스 컴퓨팅 컴퍼니(Rana Intelligence Computing Company)가 사용한 여러 도구를 기술한 공공 위협 분석 보고서를 발표했다.
APT39의 운영을 Rana와 정식으로 연계하면서 FBI는 정보 유출과 원격 액세스 기능을 갖춘 "optimizer.apk"라는 안드로이드 스파이웨어 앱을 포함해 그룹이 컴퓨터 침입과 정찰 활동을 하기 위해 사용했던 이전에 공개되지 않았던 8가지 개별적이고 뚜렷한 악성 소프트웨어 세트를 상세하게 설명했다.
APK 임플란트는 정보 도용과 원격 액세스 기능을 갖추고 있어 사용자가 모르게 안드로이드 기기에서 루트 액세스 권한을 얻었다고 한다.
[그림1. Android Malware ]
C2 서버에서 HTTP GET 요청 검색, 장치 데이터 획득, 수집된 데이터 압축 및 AES 암호화, HTTP POST 요청을 통해 악의적인 C2 서버로 전송하는 것이 주요 기능이다.
ReverseLabs는 오늘 새로 발표된 보고서에서 FBI Flash 보고서에 설명된 난독화 되지 않은 악성 프로그램의 이전 버전을 사용하여 이 implant를("com.android.providers.optimizer")을 더 깊이 파고들었다.
연구원 Karlo Zanki에 따르면 임플란트에는 정부 감시 목적으로 오디오를 녹음하고 사진을 찍을 수 있는 권한을 가지고 있었을 뿐만 아니라, 사용자 지정 Wi-Fi 액세스 포인트를 추가하고 손상된 장치를 강제로 연결하는 기능도 가지고 있었다.
Zanki는 분석에서 "이 기능은 아마도 대상의 모바일 계정에서 비정상적인 데이터 트래픽 사용으로 인한 탐지 가능성을 피하고자 도입되었을 것"이라고 말했다.
또한 특정 전화번호로부터 걸려온 전화를 자동으로 받아, 위협 행위자가 온디맨드 방식으로 대화를 도청할 수 있는 기능도 주목할 만했다.
SMS 메시지를 통해 전송된 명령 수신 지원 기능 외에도, FBI가 언급한 "optimizer" 악성코드의 최신 변종은 접근성 서비스를 악용하여 왓츠앱, 인스타그램, 텔레그램, Viber, 스카이프, 이란에 본사를 둔 비공식 텔레그램 클라이언트 Talaeii와 같은 인스턴트 메시징 어플리케이션의 컨텐츠에 접속했다.
텔레그램은 앞서 2018년 12월 이란 인권센터(CHRI)가 보안 우려를 이유로 공개한 데 이어 Talaeii 및 Hotgram 이용자들에게 'unsafe' 경고를 내린 바 있다는 점에 주목할 필요가 있다.
Zanki는 "개인을 타깃으로 할 때 위협 행위자들은 종종 그들의 소통과 움직임을 모니터링하고 싶어 한다"고 결론지었다. "휴대폰은 주머니에 담긴 컴퓨팅 파워, 그리고 대부분의 사람이 항상 휴대하고 다닌다는 사실 때문에 그런 목표에 가장 적합하다."
그는 "안드로이드 플랫폼이 세계 스마트폰 시장 점유율에서 가장 큰 비중을 유지하고 있기 때문에 모바일 악성코드의 1차 대상이기도 하다"고 덧붙였다.
출처
https://thehackernews.com/2020/12/iranian-rana-android-malware-also-spies.html
