최근 이탈리아의 디지털 권리 단체 'Osservatorio Nessuno'는 Morpheus라 명명된 새로운 안드로이드 스파이웨어를 발견했습니다. 이 소프트웨어는 이탈리아의 합법적 감청 기술 기업인 IPS(Intelligence Public Security)와 연계된 것으로 파악되었으며, 고도의 기술적 취약점 공격보다는 사회공학적 기법과 통신사(ISP)의 인프라를 악용하는 치밀함을 보였습니다.
"Morpheus는 단순한 악성코드를 넘어, 국가 기관과 통신 인프라가 결탁했을 때 발생할 수 있는 보안 위협의 전형을 보여줍니다."
1. 감염 메커니즘: ISP와의 공모 및 사회공학적 기법
Morpheus는 소위 'Low-cost' 스파이웨어로 분류됩니다. NSO Group의 Pegasus와 같은 'Zero-click' 공격 대신, 타겟이 직접 설치하도록 유도하는 방식을 사용하기 때문입니다. 주목할 점은 이 과정에서 ISP(인터넷 서비스 제공자)가 개입했다는 정황입니다.
- 데이터 차단: 공격 대상의 모바일 데이터를 의도적으로 차단하여 사용자를 불안하게 만듭니다.
- SMS 유도: 데이터 복구를 위해 '시스템 업데이트'가 필요하다는 가짜 SMS를 발송하여 피싱 사이트 접속을 유도합니다.
- 권한 남용: 설치된 앱은 안드로이드의 Accessibility Services(접근성 서비스) 권한을 요구하며, 이를 통해 화면 데이터를 읽고 타 앱과의 상호작용을 가로챕니다.
2. WhatsApp 계정 탈취 전략
이 스파이웨어의 가장 혁신적이면서도 위험한 부분은 WhatsApp 계정 탈취 방식입니다. 가짜 업데이트 화면과 재부팅 스크린을 보여준 뒤, WhatsApp을 사칭하여 생체 인증을 요구합니다. 사용자가 지문이나 안면 인식을 수행하는 순간, 공격자는 이를 이용해 '기기 연결(Linked Devices)' 기능을 활성화하여 공격자의 서버에 대상의 대화 내용을 실시간으로 동기화합니다.
3. 인프라 및 추적 흔적
분석 결과, Morpheus의 C&C(Command and Control) 서버 중 하나가 'IPS Intelligence Public Security'에 등록된 IP 주소임이 밝혀졌습니다. 또한 코드 내부에서 이탈리아의 유명한 범죄 드라마인 'Gomorra'나 'Spaghetti'와 같은 이탈리아어 키워드가 다수 발견되어 개발 주체를 암시하고 있습니다.
시니어 아키텍트 관점에서 Morpheus 사례는 기술적 결함보다 '신뢰 체계의 붕괴'에 초점을 맞춰야 합니다. ISP가 공격의 조력자로 나설 경우, 전송 계층(Transport Layer)에서의 보안 확보는 사실상 무의미해집니다.
특히 Android Accessibility Services는 양날의 검입니다. UI 자동화와 접근성을 위해 설계된 이 API가 스파이웨어의 Keylogger 및 Screen Scraper로 돌변하는 것을 막기 위해, 구글은 최근 런타임 권한 제어를 강화하고 있으나 여전히 사회공학적 기법 앞에서는 취약합니다.
인프라 측면에서 볼 때, 이러한 스파이웨어는 Cloud 기반의 C2 인프라를 유연하게 활용하며 탐지를 회피합니다. 따라서 기업과 개인은 HTTP/HTTPS 트래픽의 이상 징후 분석뿐만 아니라, 기기 내에서 발생하는 비정상적인 권한 상승 및 API 호출 패턴을 모니터링하는 EDR(Endpoint Detection and Response) 솔루션 도입이 필수적입니다. 결국 보안의 핵심은 '모든 네트워크와 기기는 이미 침해되었을 수 있다'는 Zero Trust 원칙의 철저한 이행에 있습니다.
원문 출처: Another spyware maker caught distributing fake Android snooping apps
댓글
댓글 쓰기