WhatsApp 백업을 타깃으로 하는 새로운 Android GravityRAT
ESET의 보안 연구원들은 이제 WhatsApp 백업에 침투하는 데 초점을 맞춘 Android GravityRAT 스파이웨어의 업데이트 버전을 발견했습니다.
2015년에 처음 등장한 원격 액세스 트로이 목마는 그 이후로 지속적으로 위협이 되고 있습니다. 해커는 이 트로이 목마를 통해 손상된 디바이스에 원격으로 액세스하여 통화 기록, 연락처, 메시지, 위치, 사진, 동영상, 문서 등 다양한 유형의 민감한 데이터를 추출할 수 있습니다. Windows, Android 및 macOS 플랫폼과 호환되지만, GravityRAT의 진정한 기원과 이를 만든 스페이스코브라(SpaceCobra)라는 그룹의 정체는 아직 공개되지 않았습니다.
ESET에서 발견한 최신 GravityRAT 변종은 특히 WhatsApp 백업을 무단 액세스의 수단으로 삼고 있습니다. 이 멀웨어는 인기 있는 메시징 플랫폼의 취약점을 악용하여 의심하지 않는 피해자로부터 풍부한 개인 정보를 추출하는 것을 목표로 합니다. 악성 코드 운영자는 악성 활동을 용이하게 하기 위해 메시징 앱인 빙챗과 차티코의 용도를 변경하여 유포 수단으로 사용했습니다. 이러한 앱은 악성 페이로드를 유포하는 데 활용되는 동시에 실제 의도를 위장하고 있습니다.
트로이 목마에 감염된 빙챗 앱은 합법적인 메시징 및 파일 공유 서비스와 유사하게 설계되었으며, 전용 웹 사이트에서 다운로드할 수 있습니다. 반면에 한때 활성화되었던 Chatico 앱은 더 이상 작동하지 않습니다. 공격자는 IP 주소, 지리적 위치, 사용자 지정 URL 또는 특정 시간대와 같은 요소를 기반으로 특정 피해자가 웹사이트를 방문할 것으로 예상하는 등 이 캠페인은 고도로 타깃팅된 것으로 보입니다.
감염에 성공하면 이 멀웨어는 암호화되지 않은 WhatsApp 백업 파일을 추출하여 공격자에게 백업 파일에 저장된 사용자의 메시지, 사진, 비디오, 문서 및 기타 미디어 항목에 대한 완전한 액세스 권한을 부여합니다. ESET은 이 앱이 "bingechat[.]net"과 잠재적으로 다른 도메인 또는 배포 채널을 통해 전달된다는 경고를 발표했습니다. 그러나 다운로드에 대한 액세스는 초대를 기반으로 하기 때문에 연구원들이 분석을 위해 사본을 확보하기가 어렵습니다.
그라비티랫의 운영자들은 악성 페이로드를 전파하기 위해 채팅 앱을 사용하는 일관된 패턴을 보여 왔습니다. 이전 사례에서 그들은 악성 Android APK를 홍보하기 위해 'SoSafe' 및 'Travel Mate Pro'와 같은 앱을 활용했습니다. ESET의 분석에 따르면 트로이 목마에 감염된 BingeChat 앱은 실제로는 합법적인 안드로이드용 오픈 소스 인스턴트 메신저 앱인 OMEMO IM의 수정된 버전인 것으로 밝혀졌습니다. GravityRAT, OMEMO IM, 그리고 "Chatico"라는 이름의 가짜 앱 사이의 이러한 연결은 SpaceCobra 그룹이 사용하는 정교한 전술을 보여줍니다.
이 글의 출처는 InfoSecurityMagazine의 기사입니다.