기술 지원
문서
로그인
문의하기
사용자 데이터를 도용하기 위해 가짜 VPN 앱을 배포하는 Bahamut
2022년 12월 9일 TuxCare 홍보팀
ESET 연구원들은 2016년부터 활동해온 악명 높은 사이버 용병 그룹인 바하무트 APT 그룹이 가짜 VPN 앱으로 Android 사용자를 표적으로 삼고 멀웨어를 삽입하여 사용자 인증 정보를 탈취하는 지속적인 캠페인을 발견했습니다.
이 캠페인은 2022년 1월부터 진행 중이며, 안드로이드 앱만 다운로드할 수 있는 가짜 SecureVPN 웹사이트를 통해 정품으로 위장한 SoftVPN, SecureVPN, OpenVPN의 가짜 VPN 앱을 유포하고 있습니다. 이 가짜 앱은 합법적인 정품 앱과 아무런 관련이 없으며, 구글 플레이에서 사용할 수 없습니다.
조사에 따르면, Bahamut은 두 개의 다른 합법적인 VPN 앱인 SoftVPN과 OpenVPN에 악성 코드를 삽입했습니다. VPN 및 스파이웨어 기능을 활성화하기 전에 가짜 SecureVPN은 활성화 키를 요청하여 동적 멀웨어 분석 샌드박스가 악성 앱으로 표시하지 못하도록 합니다.
배포 웹사이트를 통해 코드 변경 및 업데이트가 적용된 8가지 버전의 악성 패치가 적용된 앱을 사용할 수 있다는 점에 유의해야 합니다. 앱 수정의 주요 목적은 민감한 사용자 데이터를 추출하고 피해자의 메시징 앱을 적극적으로 감시하는 것입니다.
보고서에 따르면, 바하무트는 특히 중동과 남아시아의 기업 및 개인을 공격 대상으로 신중하게 선택하는데, 그 이유는 앱이 배포 벡터를 사용하여 기능을 활성화하기 위해 피해자에게 활성화 키를 입력하도록 요구한 후 스피어 피싱 메시지와 가짜 앱으로 공격하기 때문입니다. 그런 다음, 합법적인 SecureVPN 서비스의 이름과 콘텐츠 또는 스타일을 사용하지 않는 웹사이트 thesecurevpn[.]com을 통해 악성 Android 애플리케이션을 배포합니다(securevpn.com 도메인에서).
이 가짜 SecureVPN 웹사이트는 무료 웹 템플릿을 사용하여 제작되었는데, 이는 약간의 변경만 필요하고 신뢰할 수 있는 것처럼 보이기 때문에 위협 행위자가 영감을 얻기 위해 사용했을 가능성이 높습니다.
배포 후, 가짜 앱은 VPN 및 스파이웨어 기능을 활성화하기 전에 활성화 키를 요청합니다. 키와 URL이 표적이 된 사용자에게 전송되어 해커가 스파이웨어를 원격으로 제어하고 통화 기록, SMS 메시지, 기기 위치, WhatsApp 데이터, Telegram 및 Signal 데이터 등의 기밀 사용자 데이터에 피해자 모르게 침투/수집할 수 있습니다.
이 글의 출처는 Hackread의 기사입니다.
