인기 안드로이드 앱으로 위장하는 CapraRAT 스파이웨어 마스크
사이버 범죄의 영역에서 Transparent Tribe라는 이름의 위협 행위자가 인기 있는 Android 앱으로 위장하여 CapraRAT 스파이웨어를 빠르게 확산시키고 있습니다. 언론 보도에 따르면 이러한 공격은 관심 있는 개인을 대상으로 하는 대규모 사회 공학 캠페인의 일부라고 합니다.
이 글에서는 이러한 공격에 대해 자세히 알아보고 CapraRAT 스파이웨어의 작동 방식에 대해 알아보겠습니다. 시작하겠습니다!
CapraRAT 스파이웨어 캠페인 초기 발견
CapraRAT 스파이웨어를 사용하는 공격 캠페인은 2023년 9월 SentinelOne에 의해 처음 발견되었습니다. 이 일련의 공격은 CapraTube 캠페인이라고 불리고 있습니다. 최초 발견 당시 공격의 배후에 있는 위협 행위자가 Android 앱을 무기화하여 YouTube와 같은 인기 앱으로 위장하고 있는 것으로 확인되었습니다.
이렇게 무기화된 앱은 CapraRAT이라는 스파이웨어의 배포 매체로 사용되었습니다. 이 스파이웨어는 AndroRAT의 수정된 버전으로 민감한 정보를 캡처할 수 있는 기능을 가지고 있습니다. 이 공격의 배후에 있는 위협 행위자 그룹인 Transparent Tribe는 파키스탄 출신으로 추정됩니다.
언론 보도에 따르면 이 사이버 범죄 그룹은 약 2년 동안 카프라랫을 활용해 왔다고 합니다. 또한, 위협 행위자의 표적에는 인도 정부와 군인도 포함되어 있습니다. 이 그룹은 스피어 피싱과 워터링 홀 공격을 사용하여 스파이웨어를 유포한 전력이 있는 것으로 알려져 있습니다.
멀웨어가 포함된 안드로이드 앱
또한 CapraRAT 스파이웨어 공격은 유사한 기술을 기반으로 작동하지만 고급 기능을 갖추고 있는 것으로 확인되었습니다. 사이버 보안 연구원 알렉스 델라모트는 이러한 기법과 기능에 대해 다음과 같이 설명했습니다:
"이 보고서에서 강조된 활동은 사회 공학적 구실에 대한 업데이트와 함께 스파이웨어의 이전 버전의 Android 운영 체제와의 호환성을 극대화하는 동시에 최신 버전의 Android를 포함하도록 공격 표면을 확장하려는 노력으로 이 기법이 계속되고 있음을 보여줍니다."
사이버 보안 리서치 회사에서 확인한 가장 최근의 악성 애플리케이션 APK는 다음과 같습니다:
- 크레이지 게임(com.maeps.crygms.tktols)
- 섹시 동영상(com.nobra.crygms.tktols)
- 틱톡(com.maeps.vdosa.tktols)
- 무기(com.maeps.vdosa.tktols)
CapraRAT 스파이웨어 공격 기능
공격 기능에 관한 한, CapraRAT 스파이웨어는 WebView를 사용하여 URL을 실행합니다. 이 URL은 YouTube 또는 모바일 게임 플랫폼인 CrazyGames[.]com으로 연결됩니다. 공격 대상이 이러한 플랫폼 중 하나에 접속하면, CapraRAT 스파이웨어는 획득한 권한을 악용하여 다음과 같은 민감한 데이터에 액세스합니다:
- 통화 기록.
- 메시지.
- 위치.
이러한 데이터에 액세스하는 것 외에도 오디오 또는 비디오를 녹음하고, 스크린샷을 찍고, 전화를 거는 데에도 사용할 수 있습니다.
보고에 따르면 이 스파이웨어가 감시 목적으로 사용되고 있다고 주장하는데, REQUEST_INSTALL_PACKAGES, READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS 등의 권한이 요청되거나 획득되지 않기 때문입니다.
이러한 기법의 사용은 악의적인 의도로 멀웨어를 사용하는 위협 행위자들이 이전보다 더 정교해지고 공격이 더 심각해졌다는 것을 의미합니다.
결론
트랜스페어런트 트라이브의 CapraRAT 스파이웨어 캠페인은 사이버 스파이 전술이 점점 더 정교해지고 있음을 보여줍니다. 이 위협 행위자들은 멀웨어를 인기 있는 Android 앱으로 위장하여 사회 공학을 효과적으로 악용하여 유명 인사들을 표적으로 삼습니다.
이번 사건은 철저한 앱 검증과 지속적인 모니터링을 포함한 강화된 사이버 보안 조치의 필요성을 강조합니다. 이처럼 진화하는 위협을 방어하고 민감한 정보를 보호하려면 고급 사이버 보안 조치를 사용하는 것이 필수적입니다.