‘Confucius’라고 명명된 APT 공격그룹이 안드로이드 스파이웨어 2개를 개발해 모바일 공격에 활용하고 있다고 모바일 보안기업 룩아웃에서 발표했다.

룩아웃 연구원들은 Confucius APT 그룹이 최근 개발한 안드로이드 스파이웨어는 ‘Hornbill’과 ‘SunBird’라고 전했다.

Confucius 그룹은 인도에 근거를 두고 2013년부터 활동해 온 공격그룹으로 알려져 있다.

‘Hornbill’과 ‘SunBird’라는 두 악성코드는 파키스탄의 군대, 핵 당국 및 카슈미르의 인도 선거 관리와 연결된 인원을 감시하는 데 주로 사용된 것으로 조사됐다.

룩아웃 연구원 분석에 따르면, SunBird는 공격자가 지시 한대로 감염된 장치에서 명령을 실행할 수 있는 멀웨어로 원격 액세스 트로이 목마(RAT) 기능을 제공한다. 또 압축된 ZIP 파일 형태로 C2 서버에 업로드하기 전에 정기적으로 SQLite 데이터베이스에 수집 된 정보를 저장한다.

그리고 Hornbill은 운영자가 선택한 관심 데이터를 추출하는 데 사용되는 감시 도구다. 제한된 데이터 세트만 대상으로 하며 변경 사항이 관찰 될 때만 데이터를 업로드하는 악성코드다.

두 멀웨어 모두 통화 기록, 연락처, 기기 메타 데이터, 위치 정보, 외부 저장소에 저장된 이미지, 왓츠앱 음성 메모를 포함한 광범위한 데이터를 탈취할 수 있다.

★정보보안 대표 미디어 데일리시큐!★