SpyAgent: 이미지 인식을 통한 암호 화폐 자격 증명 탈취 안드로이드 스파이웨어

📰 Original Source

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-android-spyagent-campaign-steals-crypto-credentials-via-image-recognition/

New Android SpyAgent Campaign Steals Crypto Credentials via Image Recognition | McAfee Blog

 

📍 TL;DR

• 최근 새로운 안드로이드 악성코드인 'SpyAgent'가 발견됨
• 이 악성코드는 주로 암호화폐 지갑의 복구 키(mnemonic key)를 탈취하기 위해 이미지를 스캔하는 방식으로 작동함
• 이 악성코드는 국내에서 2024년부터 활동하기 시작함
• 신뢰할 수 있는 앱으로 위장하여 유포되며, 피해자의 연락처, SMS 메시지, 저장된 이미지를 공격자의 서버로 전송함

 

📝 핵심 내용

안드로이드 스파이웨어인 'SpyAgent'가 암호화폐 지갑 복구 키인 mnemonic key를 이미지 인식을 통해 탈취하는 것이 발견되었다.

참고로 Mnemonic key는 12개의 단어로 이루어진 문구로, 복잡한 키 대신 암호화폐 지갑을 복구할 수 있도록 해준다.

 

이 악성코드는 은행, 정부 서비스, TV 스트리밍 앱 등 신뢰할 만한 앱으로 위장하여 사용자 기기에 설치된다.

설치된 이후에는 사용자 모르게 SMS 메시지, 연락처, 기기에 저장된 이미지를 공격자의 서버로 전송한다.

설치 과정에서 사용자에게 필요한 권한을 요구하며, 이러한 권한들은 실제로 악성 행위를 수행하기 위한 것이다.

 

유포 방식

해당 악성코드는 국내 사용자를 대상으로 2024년 초부터 스미싱 캠페인을 통해 확산되었다. 

주로 피싱 메시지나 소셜 미디어를 통해 악성 APK 파일을 다운로드하게 유도하는 방식으로 배포된다.

은행 및 정부 서비스부터 TV 스트리밍 서비스와 같은 사람들이 신뢰할 수 있는 앱으로 위장하여 국내 사용자를 적극적으로 표적으로 삼아온 것이 파악되었다.

Spy Agent 캠페인 타임라인, 출처: McAfee

 

악성코드 기능

'SpyAgent'는 설치 후 피해자의 연락처 목록, SMS 메시지, 저장된 이미지 등을 수집하여 공격자의 서버로 전송한다.

특히 이미지 파일들은 OCR 기술을 사용해 텍스트로 변환되며, 공격자는 이를 통해 암호화폐 지갑 복구 키와 같은 민감한 정보를 탈취한다.

 

이 악성코드는 기존 HTTP 통신으로 C2서버와 통신했던 방식이 아닌 웹소켓(WebSocket) 연결을 사용하여 공격자 서버와 실시간으로 통신하며, HTTP 기반 네트워크 모니터링 도구의 감지를 회피하였다. 또한, APK 난독화를 통해 분석을 어렵게 하고, 최근에는 영국에서도 확산되는 등 공격 범위를 넓히고 있다.

 

👁️‍🗨️ IOC

SHA256

5b634ac2eecc2bb83c0403edba30a42cc4b564a3b5f7777fe9dada3cd87fd761
4cf35835637e3a16da8e285c1b531b3f56e1cc1d8f6586a7e6d26dd333b89fcf
3d69eab1d8ce85d405c194b30ac9cc01f093a0d5a6098fe47e82ec99509f930d
789374c325b1c687c42c8a2ac64186c31755bfbdd2f247995d3aa2d4b6c1190a
34c2a314dcbb5230bf79e85beaf03c8cee1db2b784adf77237ec425a533ec634
f7c4c6ecbad94af8638b0b350faff54cb7345cf06716797769c3c8da8babaaeb
94aea07f38e5dfe861c28d005d019edd69887bc30dcc3387b7ded76938827528
1d9afa23f9d2ab95e3c2aecbb6ce431980da50ab9dea0d7698799b177192c798
19060263a9d3401e6f537b5d9e6991af637e1acb5684dbb9e55d2d9de66450f2
0ca26d6ed1505712b454719cb062c7fbdc5ae626191112eb306240d705e9ed23
d340829ed4fe3c5b9e0b998b8a1afda92ca257732266e3ca91ef4f4b4dc719f8
149bd232175659434bbeed9f12c8dd369d888b22afaf2faabc684c8ff2096f8c
f9509e5e48744ccef5bfd805938bf900128af4e03aeb7ec21c1e5a78943c72e7
26d761fac1bd819a609654910bfe6537f42f646df5fc9a06a186bbf685eef05b
0e778b6d334e8d114e959227b4424efe5bc7ffe5e943c71bce8aa577e2ab7cdb
8bbcfe8555d61a9c033811892c563f250480ee6809856933121a3e475dd50c18
373e5a2ee916a13ff3fc192fb59dcd1d4e84567475311f05f83ad6d0313c1b3b
7d346bc965d45764a95c43e616658d487a042d4573b2fdae2be32a0b114ecee6
1bff1823805d95a517863854dd26bbeaa7f7f83c423454e9abd74612899c4484
020c51ca238439080ec12f7d4bc4ddbdcf79664428cd0fb5e7f75337eff11d8a

 

 

 

---

🤔 생각 기록...

악성코드 기능에 OCR이 포함되어 니모닉 키를 탈취하는 것이 흥미로워 읽어보게 되었다.

C2 서버가 노출되어 OCR을 활용하고 있다는 것을 알게 되었다는 점도 신기했다.

또한, 이렇게 악성코드 분석을 통해 해당 악성코드 자체에 대한 정보뿐만 아니라 공격자가 어떻게 악성코드를 위장하여 배포하고, 피해자의 어떤 정보를 주요하게 탈취하고 있는지 알 수 있다는 것이 재미있는 것 같다.