전쟁 시기의 공포를 악용한 감시 캠페인

‘레드알럿’ 캠페인은 활동 중인 갈등의 공포와 긴박감을 악용해, 정식 응급 앱의 이름을 사용해 악성 버전을 배포했다. 앱의 인터페이스는 공식 앱과 동일해 사용자에게 위협을 인식하기 매우 어려웠다.

클라우드세크 분석가들은 이 가짜 앱이 안드로이드의 내장 보안 기능을 우회하기 위해 사용자에게 APK 파일을 직접 설치하도록 강요하도록 설계되었다고 밝혔다. 이 방법은 표준 보안 프로토콜을 피하는 데 도움이 되었다.

공격자는 전쟁 시기의 긴급한 업데이트를 가장한 SMS 피싱 메시지를 사용해 사용자가 즉시 앱을 다운로드하도록 유도했다. 실제 앱은 구글 플레이에서만 제공되므로, 이 캠페인은 사용자가 악성 APK를 직접 설치하도록 요구했으며, 이는 보통 보안 경고를 발생시킨다.

은밀한 데이터 수집 및 감시

앱이 설치되면, 가짜 앱은 SMS, 연락처 및 GPS 위치에 대한 고위험 권한을 요청했다. 이 권한들은 앱의 응급 알림 기능에 필요하다고 주장했지만, 실제로는 데이터 수집 및 감시를 가능하게 했다.

클라우드세크의 분석에 따르면, 악성코드는 데이터를 로컬에서 수집한 후 HTTP POST 요청을 통해 공격자 제어 서버로 전송한다. 공격자는 활동 중인 공중 폭격 시 사용자의 GPS 좌표를 추적하여, 피난처 위치를 매핑하거나 군 예비군을 식별할 수 있다.

SMS 인박스를 가로채는 것도 공격자가 2차 인증을 우회하고 정보 조작 캠페인을 진행할 수 있도록 했다. 클라우드세크는 이 캠페인을 단순한 스파이웨어 사건이 아니라 전략적이고 물리적 보안 위협으로 분류했다.

3단계 감염 체인

RedAlert.apk의 기술적 설계는 사용자와 보안 도구 모두에게 숨겨질 수 있도록 설계된 다단계 감염 체인을 보여주었다. 1단계에서 외부 APK 콜드는 패키지 매니저 훔치기 기법을 사용해 시스템 호출을 가로채고, 공식 앱의 자격 증명을 위장하는 하드코딩된 인증서를 반환했다.

2단계에서는 APK의 자산 디렉토리에서 ‘umgdn’이라는 숨겨진 파일을 추출하고 메모리에 Dalvik 실행 파일로 로드하여 정적 보안 검사기를 우회했다. 3단계에서는 최종 페이로드 DebugProbesKt.dex를 배포하여 전체 스파이웨어 기능을 활성화하고 공격자 제어 서버와의 통신을 설정했다.

클라우드세크는 사용자가 즉시 가짜 앱을 제거하고 공장 초기화를 수행하여 데이터 보존을 방지할 것을 경고했다. 네트워크 관리자는 특정 IP 주소의 모든 DNS 및 HTTPS 트래픽을 차단하고 엄격한 모바일 기기 관리 정책을 시행할 것을 권장했다.

기관들은 이스라엘-이란 갈등과 관련된 주제의 SMS 피싱 공격에 대한 경고를 발표할 것을 촉구했다. 이 캠페인은 지정학적 긴장이 사이버 위협을 악용해 민간인을 대상으로 하는 위험성이 점점 커지고 있음을 보여준다.