가짜 유튜브 앱을 사용하는 해커들, 안드로이드 기기 감염

APT36 해킹 그룹, 일명 ‘투명 부족’이 유튜브를 모방한 악성 안드로이드 앱을 사용하여 목표 기기를 모바일 원격 액세스 트로이안(이하 RAT)인 ‘CapraRAT’으로 감염시키고 있는 것으로 밝혀졌습니다.

잘 모르는 분들을 위해 APT36(또는 투명 부족)은 파키스탄과 연관된 것으로 의심되는 해킹 그룹으로, 주로 악성 안드로이드 앱을 사용하여 인도 방위 및 정부 기관, 카슈미르 지역과 관련된 조직, 그리고 파키스탄과 관련된 문제를 다루는 인권 활동자들을 공격하는 것으로 알려져 있습니다.

사이버 보안 회사인 SentinelLabs는 투명 부족의 CapraRAT과 연결된 세 개의 안드로이드 애플리케이션 패키지(APK)를 식별할 수 있었으며, 이들은 유튜브의 외관을 모방했습니다.

“CapraRAT는 감염된 안드로이드 기기의 많은 데이터에 대한 공격자의 제어를 허용하는 매우 침습적인 도구입니다.”라고 SentinelLabs의 보안 연구원 Alex Delamotte가 월요일 분석에서 썼습니다.

연구자들에 따르면, 악성 APK는 안드로이드의 구글 플레이 스토어를 통해 배포되지 않으며, 이는 피해자들이 제3자 소스에서 앱을 다운로드하고 설치하도록 사회 공학적으로 유도되었음을 의미합니다.

세 개의 APK 분석 결과, 이들은 CapraRAT 트로이안을 포함하고 있으며 2023년 4월, 7월, 8월에 VirusTotal에 업로드되었습니다. 두 개의 CapraRAT APK는 ‘YouTube’라는 이름을 가지고 있었고, 하나는 ‘Piya Sharma’라는 이름을 가지고 있었으며, 이는 대상이 애플리케이션을 설치하도록 설득하기 위해 로맨스 기반의 사회 공학 기법에 사용될 가능성이 있는 채널과 연관되어 있습니다.

앱 목록은 다음과 같습니다:

• Base.media.service

• moves.media.tubes

• videos.watchs.share

설치 중, 앱은 여러 가지 위험한 권한을 요청하며, 일부는 피해자에게 유튜브와 같은 미디어 스트리밍 앱에 대해 처음에는 무해하게 보일 수 있습니다.

악성 앱의 인터페이스는 구글의 실제 유튜브 앱을 모방하려고 시도하지만, 트로이안화된 앱 내에서 WebView를 사용하여 서비스를 로드하기 때문에 앱보다는 웹 브라우저처럼 보입니다. 또한, 합법적인 네이티브 안드로이드 유튜브 앱에서 제공되는 특정 기능과 기능이 부족합니다.

CapraRAT가 피해자의 기기에 설치되면, 마이크로폰, 전면 및 후면 카메라로 녹음, SMS 및 멀티미디어 메시지 내용 및 통화 기록 수집, SMS 메시지 전송, 수신 SMS 차단, 전화 걸기 시작, 화면 캡처, GPS 및 네트워크와 같은 시스템 설정 무시, 전화의 파일 시스템에서 파일 수정 등의 다양한 작업을 수행할 수 있습니다.

SentinelLabs에 따르면, 현재 캠페인 중 발견된 최근의 CapraRAT 변종은 투명 부족에 의한 악성코드의 지속적인 개발을 나타냅니다.

귀속에 관해서는, CapraRAT가 통신하는 명령 및 제어(C2) 서버의 IP 주소가 앱의 구성 파일에 하드코딩되어 있으며, 해킹 그룹의 과거 활동과 연결되어 있습니다.

그러나 일부 IP 주소는 다른 RAT 캠페인과 연결되어 있었지만, 이러한 위협 행위자와 투명 부족 간의 정확한 관계는 불분명합니다.

“투명 부족은 신뢰할 수 있는 습관을 가진 지속적인 행위자입니다. 상대적으로 낮은 운영 보안 기준은 그들의 도구를 신속하게 식별할 수 있게 합니다.

인도와 파키스탄 지역의 외교, 군사 또는 활동과 관련된 개인 및 조직은 이 행위자와 위협에 대한 방어를 평가해야 합니다.”라고 Delamotte가 결론지었습니다.