모바일 / 보안

구글 “이탈리아 스파이웨어, iOS 및 안드로이드 기기 해킹”

Shweta Sharma | Computerworld 2022.06.28
구글 보고서에 따르면 ‘RCS 랩(RCS Lab)’ 스파이웨어는 알려진 익스플로잇을 사용하여 유해한 페이로드를 설치하고, 개인 사용자 데이터를 훔친다.  

구글의 ‘위협 분석 그룹(Threat Analysis Group; TAG)’이 최근 이탈리아와 카자흐스탄의 iOS 및 안드로이드 모바일 사용자를 공격하기 위해 제로-데이 취약점을 악용하는 문제의 스파이웨어를 개발한 곳은 ‘RCS 랩(RCS Lab)’이라고 밝혔다. 
 
ⓒGetty Images Bank

지난 목요일 구글 블로그 게시물에 의하면 RCS 랩은 드라이브-바이(drive-by) 다운로드를 포함한 여러 전술 조합을 초기 감염 벡터로 사용했다. 이어 이 회사는 표적 기기의 개인 데이터를 감시하는 도구도 개발했다고 구글은 덧붙였다. 

이탈리아 밀라노를 기반으로 하는 RCS 랩은 (웹사이트에 따르면) 프랑스와 스페인에 계열사를 두고 있으며, 유럽 정부 기관이 고객으로 있다고 밝히고 있다. 또 합법적인 감청 분야에서 ‘첨단 기술 솔루션’을 제공한다고 주장한다. 

(이와 관련해) RCS 랩의 별도의 입장을 표명하지 않았으며, ComputerWorld의 이메일 요청에도 답하지 않았다. 대신 RCS 랩은 로이터에 보낸 성명에서 “RCS 랩 직원은 관련 고객이 수행하는 어떤 활동에도 참여하지 않는다”라고 말했다. 아울러 이 회사는 웹사이트에서 “완전히 합법적인 감청 서비스”를 제공한다면서, “유럽에서만 매일 1만 개 이상의 감청 대상이 처리된다”라고 광고한다. 

TAG는 RCS 랩의 기능을 사용한 스파이웨어 캠페인을 관찰했다고 전했다. 해당 캠페인은 표적으로 전송되는 고유 링크에서 시작되며, 이 링크를 클릭하면 사용자가 안드로이드 또는 iOS 기기에 악성 애플리케이션을 다운로드하여 설치하도록 한다. 

이는 때에 따라 표적 기기의 ISP와 협력하여 모바일 데이터 연결을 해제해 수행된다고 구글은 설명했다. 이후 사용자는 표면상 데이터 연결을 복구해야 한다는 명목으로 SMS를 통해 애플리케이션 다운로드 링크를 받는다. 따라서 대부분의 애플리케이션은 이동통신사 애플리케이션으로 가장한다. ISP 개입이 불가능하다면 애플리케이션은 메시징 앱으로 위장한다. 

승인된 드라이브-바이 다운로드
사용자가 그 결과를 이해하지 않고 허용하는 다운로드로 정의되는 ‘승인된 드라이브 바이’ 기법은 iOS와 안드로이드 기기를 모두 감염시키는 데 사용되는 반복적인 방법이라고 구글은 말했다. RCS의 iOS 드라이브 바이는 자체 개발한 앱을 애플 기기에 배포하기 위한 애플 지침을 따른다. 

ITMS(IT 관리 제품군) 프로토콜을 사용하고, 애플 개발자 엔터프라이즈(Apple Developer Enterprise) 프로그램에 등록된 이탈리아 회사인 3-1 모바일(3-1 Mobile)의 인증서로 페이로드가 포함된 애플리케이션에 서명한다. iOS 페이로드는 공개적으로 알려진 4개의 익스플로잇(LightSpeed, SockPuppet, TimeWaste, Avecesare)과 최근에 확인된 2개의 익스플로잇(Clicked 2, Clicked 3)을 활용한다. 

안드로이드 드라이브 바이는 사용자가 공식 삼성 아이콘을 통해 합법적인 앱으로 위장한 애플리케이션을 설치하도록 한다. 사용자를 보호하기 위해 구글은 구글 플레이 프로텍트(Google Play Protect)를 변경하고, C2로 사용되는 파이어베이스 프로젝트(통신에 사용되는 명령 및 제어 기술)를 비활성화했다. 또한 보안 전문가의 해당 침입 탐지를 지원하기 위해 몇 가지 침해 지표(IOC)를 공개했다.
ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.