[보안뉴스]한국인 겨냥 ‘사랑트랩’ 악성코드 캠페인 포착…업계 주의 당부

내용 요약

이번 글은 한국 사용자를 주된 표적으로 삼는 진화하는 모바일 악성 앱 공격 캠페인에 대해 다룹니다. 특히 ‘사랑트랩’(SarangTrap)과 ‘레드훅’(RedHook) 같은 신종 캠페인이 언급되며, 이들은 초대 코드, 가짜 앱스토어 배포, 탐지 회피, 그리고 iOS 기기 프로파일 악용과 같은 고도화된 수법을 사용해 개인 정보를 탈취하고 피해자를 협박합니다. 텔레그램과 같은 합법적인 플랫폼까지 악용하며 공격의 범위와 정교함이 확대되고 있어 사용자들의 각별한 주의가 요구됩니다.

핵심 포인트

• 한국 사용자들이 대규모 모바일 악성 앱 공격의 주요 표적입니다.
• 공격자들은 ‘초대코드’ 및 ‘가짜 앱스토어’를 활용하여 악성 앱을 유포합니다.
• ‘탐지 회피 수법’이 고도화되어 기존 보안 솔루션의 탐지를 우회합니다. ️‍♀️
• ‘iOS 기기 프로파일 악용’과 같은 새로운 기술적 취약점 활용이 증가하고 있습니다.
• 탈취한 개인 정보를 이용한 ‘피해자 협박’과 같은 2차 피해가 발생하고 있습니다.
• ‘사랑트랩’(SarangTrap)과 ‘레드훅’(RedHook)은 현재 확산 중인 주요 악성 캠페인 명칭입니다.
• ‘텔레그램’과 같은 합법적인 메신저 플랫폼이 공격 수단으로 악용됩니다.

기술 세부 내용

1️⃣ 가짜 앱스토어 및 악성 앱 유포 (Fake App Stores & Malicious App Distribution)

• 내용: 공격자들은 공식 App Store나 Google Play Store가 아닌, 자신들이 직접 만든 비공식적인 '가짜 앱스토어' 웹사이트를 구축하여 악성 앱을 유포합니다. 사용자들은 주로 소셜 미디어, 피싱 메시지, 또는 본문에 언급된 '초대코드'와 같은 미끼를 통해 이 가짜 앱스토어로 유도됩니다. 이 곳에서 다운로드되는 앱들은 겉보기에는 일반적인 유틸리티 앱, 게임, 또는 특정 서비스 앱처럼 보이지만, 실제로는 사용자 기기에 악성 코드를 설치하여 개인 정보를 탈취하거나 추가적인 악성 행위를 수행할 수 있도록 설계되어 있습니다. 이러한 방식은 공식 앱스토어의 엄격한 보안 심사를 우회하여 악성 앱이 사용자에게 직접 도달할 수 있게 만듭니다.

2️⃣ 탐지 회피 수법 (Evasion Techniques)

• 내용: '탐지 회피 수법'은 악성 코드가 안티바이러스 소프트웨어, 침입 탐지 시스템 (IDS), 또는 보안 분석가의 분석을 피하도록 설계된 다양한 기술을 의미합니다. ️ 공격자들은 자신들의 악성 앱이 탐지되지 않고 기기 내에서 더 오래 활동할 수 있도록 이러한 기법을 지속적으로 고도화하고 있습니다. 예를 들어, 코드를 난독화(Obfuscation)하여 분석을 어렵게 하거나, 가상 환경(Virtual Machine)이나 디버거(Debugger)에서 실행될 경우 동작을 멈추거나 정상적인 행동을 하는 Anti-Analysis 기법을 사용할 수 있습니다. 또한, C2(Command and Control) 서버와의 통신을 암호화하거나, 특정 시간 또는 조건에서만 활성화되도록 설정하여 패턴 기반 탐지를 어렵게 만들기도 합니다.

3️⃣ iOS 기기 프로파일 악용 (iOS Device Profile Exploitation)

• 내용: iOS 기기의 '프로파일(Configuration Profile)'은 .mobileconfig 확장자를 가진 파일로, 기업이나 교육 기관 등에서 다수의 iOS 기기에 Wi-Fi, VPN, 이메일 계정, 인증서 등 특정 설정을 일괄적으로 배포하고 관리하기 위해 사용됩니다. 공격자들은 이 합법적인 프로파일 기능을 악용하여 사용자 기기에 악의적인 프로파일을 설치하도록 유도합니다. 예를 들어, 가짜 VPN 프로파일을 설치하게 하여 모든 네트워크 트래픽을 공격자가 통제하는 서버로 우회시키거나, 악성 루트 인증서를 설치하여 HTTPS 트래픽을 가로채는 중간자 공격(Man-in-the-Middle Attack)을 수행할 수 있습니다. 또한, 특정 앱의 설치를 강제하거나 기기 설정을 변경하여 보안 기능을 약화시킬 수도 있어, 공식 앱스토어를 통하지 않고도 기기를 제어할 수 있는 심각한 위협이 됩니다.

4️⃣ 피해자 협박 (Extortion)

• 내용: '피해자 협박'은 공격자가 탈취한 개인 정보나 기기 접근 권한을 빌미로 피해자에게 금전(몸값)을 요구하거나, 특정 행위를 강요하는 것을 의미합니다. 본문에서는 모바일 악성 앱 공격을 통해 개인 정보를 빼낸 후 피해자를 협박한다고 명시되어 있습니다. 이는 랜섬웨어(Ransomware)와 유사하게 데이터를 암호화하여 접근을 막거나, 민감한 정보를 유출하겠다고 위협하는 방식으로 이루어질 수 있습니다. 특히 모바일 기기에는 연락처, 사진, 메시지, 금융 정보 등 매우 민감한 개인 정보가 많기 때문에, 이러한 협박은 피해자에게 치명적인 영향을 미칠 수 있습니다.

5️⃣ SarangTrap & RedHook 캠페인 (SarangTrap & RedHook Campaigns)

• 내용: '사랑트랩'(SarangTrap)과 '레드훅'(RedHook)은 한국 및 아시아권 사용자를 주요 표적으로 삼는 특정 모바일 악성 앱 공격 캠페인의 명칭입니다. 이러한 캠페인들은 위에서 설명된 가짜 앱스토어, 탐지 회피, iOS 프로파일 악용, 피해자 협박 등 다양한 고도화된 기법들을 복합적으로 활용하여 공격을 수행합니다. 캠페인 명칭은 보안 연구 기관이나 기업이 특정 공격 그룹이나 악성 코드 계열을 식별하고 추적하기 위해 붙인 이름으로, 이들을 통해 공격의 패턴, 사용되는 도구, 주요 대상 등을 파악할 수 있습니다. 이는 공격자들의 특정 지역/언어 타겟팅 전략과 기술적 발전 수준을 보여주는 사례입니다.

6️⃣ 텔레그램 악용 (Telegram Exploitation)

• 내용: 텔레그램(Telegram)은 종단 간 암호화(End-to-End Encryption)를 지원하는 인기 있는 메신저 플랫폼입니다. 공격자들은 이러한 텔레그램의 익명성과 보안 기능을 악용하여 악성 캠페인의 인프라로 활용합니다. 예를 들어, 감염된 기기(봇넷)와의 C2(Command and Control) 통신 채널로 사용하거나, 탈취한 데이터를 외부로 유출하는 데이터 유출(Exfiltration) 경로로 활용할 수 있습니다. 또한, 악성 앱 다운로드 링크를 공유하거나, 감염된 사용자에게 협박 메시지를 보내는 수단으로도 이용됩니다. 텔레그램과 같은 합법적인 서비스를 악용하는 것은 보안 솔루션이 악성 트래픽을 탐지하고 차단하기 어렵게 만드는 효과적인 회피 전략 중 하나입니다.

 

출처: http://www.boannews.com/media/view.asp?idx=138442&kind=&sub_kind=