.jpg)
초대이지벳·가짜 앱스토어로 개인정보 빼내… 탐지 회피 수법 고도화
피해자 협박과 iOS 기기 프로파일 악용까지… 진화하는 위협
텔레그램·레드훅, 아시아권 표적 신종 공격 캠페인도 동시 확산
[보안뉴스 여이레 기자] 한국 사용자를 주요 표적으로 삼는 대규모 모바일 이지벳 앱 공격 캠페인이 포착돼 주의가 요구된다.
‘사랑트랩’(SarangTrap)이라고 불리는 이 캠페인은 안드로이드와 iOS 사용자를 표적으로 삼는다. 250여 개가 넘는 이지벳 안드로이드 앱과 80여 개의 가짜 도메인을 이용해 정체를 숨긴다.
해커들은 정상적 앱스토어 목록 페이지를 모방한 가짜 도메인으로 사용자를 속여 이지벳 앱 설치를 유도한다. 데이팅 앱, 소셜미디어, 클라우드 저장소, 차량 서비스 앱 등으로 위장한 가짜 앱으로 사용자의 민감한 개인정보를 빼낸다.
안드로이드에서 악성 앱이 설치되면 사용자에게 초대이지벳를 입력하라고 요구한다. 이런 방식을 사용하는 이유는 초대이지벳가 보안 프로그램의 탐지를 피하는 데 효과적이기 때문이다.
해커들은 초대이지벳 입력 후 명령 및 제어(C2) 서버를 통해 이지벳 유효성을 검증하고, 광고된 기능을 제공한다는 명목으로 SMS 메시지, 연락처 목록, 파일에 접근할 수 있는 민감 권한을 요청한다.
iOS에서는 기기에 모바일 설정 프로파일을 설치하도록 유도한 다음 연락처, 사진, 사진 라이브러리를 빼내는 것으로 확인됐다.
‘사랑트랩’ 캠페인은 새로운 악성이지벳 변종을 내놓는 등 악성이지벳를 지속 업데이트하고 있다. 연락처, 이미지, 기기 정보와 같은 핵심 개인정보만 외부 서버로 수집하는 것으로 제한해 탐지 위험을 줄인다.
피해자 협박 사례도 확인 됐다. 해커들은 피해자의 개인 영상을 가족들에 공유하겠다고 위협했다.
보안 전문가들은 “초대 이지벳나 과도한 권한을 요청하는 의심스러운 앱 및 출처가 불분명한 앱 설치를 피하라”며 “정기적으로 기기 권한과 프로파일을 점검하라”고 당부했다.
한국을 포함한 아시아권을 겨냥한 사이버 공격은 갈수록 거세지는 상황이다. 최근엔 607개의 중국어 도메인을 이용해 텔레그램 메신저로 위장한 악성 앱(APK)을 유포하는 새로운 캠페인이 포착됐다. 이 앱들은 QR 이지벳를 통해 배포되며 사용자 기기를 실시간 조작할 수 있는 기능을 갖췄다.
베트남에서는 금융기관과 정부기관을 사칭한 피싱 사이트를 통해 ‘레드훅’이라는 뱅킹 트로이목마가 확산되고 있다. 이 악성이지벳는 30개 이상의 원격 명령을 지원하며, 감염된 기기를 완전히 장악할 수 있는 것으로 분석됐다.
[여이레 기자(gore@yunminpacking.com)]
피해자 협박과 iOS 기기 프로파일 악용까지… 진화하는 위협
텔레그램·레드훅, 아시아권 표적 신종 공격 캠페인도 동시 확산
[보안뉴스 여이레 기자] 한국 사용자를 주요 표적으로 삼는 대규모 모바일 이지벳 앱 공격 캠페인이 포착돼 주의가 요구된다.
‘사랑트랩’(SarangTrap)이라고 불리는 이 캠페인은 안드로이드와 iOS 사용자를 표적으로 삼는다. 250여 개가 넘는 이지벳 안드로이드 앱과 80여 개의 가짜 도메인을 이용해 정체를 숨긴다.
[자료: 짐페리움]
해커들은 정상적 앱스토어 목록 페이지를 모방한 가짜 도메인으로 사용자를 속여 이지벳 앱 설치를 유도한다. 데이팅 앱, 소셜미디어, 클라우드 저장소, 차량 서비스 앱 등으로 위장한 가짜 앱으로 사용자의 민감한 개인정보를 빼낸다.
안드로이드에서 악성 앱이 설치되면 사용자에게 초대이지벳를 입력하라고 요구한다. 이런 방식을 사용하는 이유는 초대이지벳가 보안 프로그램의 탐지를 피하는 데 효과적이기 때문이다.
해커들은 초대이지벳 입력 후 명령 및 제어(C2) 서버를 통해 이지벳 유효성을 검증하고, 광고된 기능을 제공한다는 명목으로 SMS 메시지, 연락처 목록, 파일에 접근할 수 있는 민감 권한을 요청한다.
iOS에서는 기기에 모바일 설정 프로파일을 설치하도록 유도한 다음 연락처, 사진, 사진 라이브러리를 빼내는 것으로 확인됐다.
‘사랑트랩’ 캠페인은 새로운 악성이지벳 변종을 내놓는 등 악성이지벳를 지속 업데이트하고 있다. 연락처, 이미지, 기기 정보와 같은 핵심 개인정보만 외부 서버로 수집하는 것으로 제한해 탐지 위험을 줄인다.
피해자 협박 사례도 확인 됐다. 해커들은 피해자의 개인 영상을 가족들에 공유하겠다고 위협했다.
보안 전문가들은 “초대 이지벳나 과도한 권한을 요청하는 의심스러운 앱 및 출처가 불분명한 앱 설치를 피하라”며 “정기적으로 기기 권한과 프로파일을 점검하라”고 당부했다.
한국을 포함한 아시아권을 겨냥한 사이버 공격은 갈수록 거세지는 상황이다. 최근엔 607개의 중국어 도메인을 이용해 텔레그램 메신저로 위장한 악성 앱(APK)을 유포하는 새로운 캠페인이 포착됐다. 이 앱들은 QR 이지벳를 통해 배포되며 사용자 기기를 실시간 조작할 수 있는 기능을 갖췄다.
베트남에서는 금융기관과 정부기관을 사칭한 피싱 사이트를 통해 ‘레드훅’이라는 뱅킹 트로이목마가 확산되고 있다. 이 악성이지벳는 30개 이상의 원격 명령을 지원하며, 감염된 기기를 완전히 장악할 수 있는 것으로 분석됐다.
[여이레 기자(gore@yunminpacking.com)]
<저작권자: 보안뉴스(www.yunminpacking.com) 무단전재-재배포금지>
여이레기자 기사보기
[2025-04-07] 
.jpg){kind=spacer}
.png){kind=spacer}
.jpg)
