이란의 새 스파이웨어, 자국민 사이에서 확산

중요한 국제 정세에 영향을 줄만한 멀웨어가 발견됐다. DCH스파이(DCHSpy)라는 것으로, 2024년부터 알려져 왔던 안드로이드 기반 멀웨어다. 이번에 발견된 최신 버전으로, 새로운 기능이 추가된 것으로 분석됐다. 배후에는 이란의 악명 높은 해킹 집단인 머디워터(MuddyWater)가 있을 가능성이 높은 것으로 보인다. 그리고 머디워터 배후에는 이란의 정보보안부인 MOIS가 있는 것으로 알려져 있다.

DCH스파이는 이름에서도 알 수 있듯이 일종의 스파이웨어다. 공격자가 피해자를 몰래 감시하기 위해 사용하는 게 보통이다. 개발과 유지 관리는 머디워터가 맡고 있는 것으로 추정되며, 중동, 아시아, 아프리카, 유럽, 북미 전역의 통신과 에너지, 국방 기관들을 표적으로 삼아 사용되고 있다. 이번에 최신 버전은 보안 업체 룩아웃(Lookout)이 처음 발견해 세상에 알렸다.

국제 정세 반영한 멀웨어

“최근 이란은 이스라엘을 비롯해 그 우방국들과 격렬히 부딪히고 있지요. 그런 가운데 DCH스파이의 새 버전이 나왔다는 건 우연이 아닙니다. 더 강력한 기능을 앞세워 적국을 공략하려는 이란 정부의 의도를 볼 수 있습니다.” 룩아웃의 설명이다. “최신 버전은 현재 VPN이나 뱅킹 멀웨어 등으로 위장된 상태로 퍼지고 있습니다.”

‘격렬히 부딪힌다’는 건 얼마 전 있었던 이스라엘의 이란 핵 시설 공습을 의미한다. 룩아웃은 DCH스파이의 새 변종 샘플 4개를 공습이 있고서 약 일주일 후에 발견했다고 한다. “머디워터는 그 동안에도 계속해서 멀웨어 개량에 힘을 쏟고 있었던 것으로 보입니다. 그러니 이런 사태 발생 시 즉각적으로 대처할 수 있었던 것입니다.”

흥미롭게도 어스VPN(Earth VPN)이라는 앱으로 위장된 DCH스파이 샘플 중 하나가 APK 파일로 업로드 되어 있는 것도 룩아웃은 발견할 수 있었다고 한다. 이 때 파일명은 starlink_vpn이었다. 위성 인터넷 서비스인 스타링크와 관련이 있어 보이는 이름이다. “이스라엘과 이란이 서로 공격을 주고 받은 후 이란 정부가 얼마 간 인터넷을 끊었죠. 이스라엘의 첩보전을 두려워했기 때문인데, 이 때 이란 정부는 스타링크로 국민드에게 인터넷 서비스를 제공했던 것으로 알려져 있습니다. DCH스파이를 유포할 때, 이란 내 사정까지도 미끼로 활용했음을 알 수 있습니다.”

DCH스파이는 어떤 기능을 수행할까? 기본적으로는 ‘데이터 수집’이다. “피해자 기계에서 로그인 된 계정, 연락처, SMS 메시지, 기기에 저장된 파일, 위치 정보, 통화 기록, 마이크를 통해 입수된 소리, 카메라를 통해 입수된 이미지, 왓츠앱 데이터를 수집합니다. 이 중 장비 내 파일과 왓츠앱 데이터 탈취 기능은 새 버전에만 있는 것입니다. 이런 데이터를 압축해서 C&C 서버에서 전송된 비밀번호를 사용해 암호화 합니다. 그런 다음 SFTP 서버로 업로드 합니다.”

공격 대상은 자국민?

이번에 머디워터가 노린 건 이란 국민들인 것으로 분석되고 있다. 반정부 인사들과 현재 정부에 반대하는 목소리를 공공연히 내는 오피니언 리더들이 특히 감시 대상인 것으로 보인다. “이는  DCH스파이의 유포 방식을 보면 알 수 있습니다. 현재 텔레그램이나 왓츠앱, 문자 메시지 등으로 멀웨어 다운로드 링크를 보내는데, 동봉된 메시지는 정부에 반대한다는 내용입니다. 즉 정부를 마음에 들어하지 않는 사람들이 혹할 만한 메시지를 미끼로 삼는 것이죠.”

이란 APT 단체들이 자국민을 노린 건 이번이 처음이 아니다. 무슬림 원리주의자들이 이란 정권을 오랜 기간 장악하면서 국민들 사이에 불만이 점점 고조되고 있으며, 이를 통제하기 위해 정부가 사용하는 도구 중 하나가 해킹 기술(혹은 감시 기술)이다. 이란 정부는 사형 집행을 가장 활발히 하는 것으로도 국제 사회에서 악명이 높은데, 자국민 감시를 통해 제거할 대상을 찾는 것으로 알려져 있다. 최근 새 스파이웨어가 등장했다는 건 이스라엘과의 충돌이 격화되는 시기에 내부 단속을 더 심하게 하려는 속셈으로 분석된다.

또 다른 스파이웨어의 향기가...

룩아웃은 DCH스파이를 추적하다가 예전에 공개됐던 또 다른 안드로이드 스파이웨어의 흔적을 발견했다. 샌드스트라이크(SandStrike)로, 2022년에 처음 세상에 알려진 멀웨어다. 당시 비하이교 신자들을 대상으로 한 감시 활동에 활용됐었다. “DCH스파이가 바로 이 샌드스트라이크와 인프라를 공유하고 있었습니다. 유포 전략도 둘이 비슷합니다. 텔레그램 등을 이용하는 것이죠.” 이로써 샌드스트라이크라는 멀웨어의 유포자도 이란일 가능성이 높아졌다.

룩아웃은 “모바일 스파이웨어를 운영한다는 측면에서 이란은 매우 활발한 세력”이라며 “지난 10년 동안 최소 17개 이란발 모바일 스파이웨어를 적발했다”고 밝혔다. “앞으로 더 발전된 DCH스파이 변종은 물론, 완전히 새로운 멀웨어들이 이란으로부터 나올 겁니다. 국제 정세와 더불어 이란 해커들의 소식도 눈여겨봐야 합니다.”

Related Materials

• Lookout Discovers Iranian APT MuddyWater Leveraging DCHSpy for Domestic Surveillance - Lookout, 2024년
• MuddyWater Deploys New DCHSpy Variants Amid Iran-Israel Conflict - Security Affairs, 2024년
• Iran-Linked DCHSpy Android Malware Masquerades as VPN Apps - The Hacker News, 2024년
• Iranian APT Targets Android Users With New Variants of DCHSpy Spyware - SecurityWeek, 2024년

中 해킹 조직, 전 세계 가정용·소형 네트워크 장비 1천여 대 장악…‘스파이망’ 구축 정황

💡Editor Pick - LapDogs, 중국과 연계된 해킹조직으로 정보 탈취의 첩보활동 수행 - 리눅스 기반 SOHO 장비를 대상으로 ShortLeash 백도어 활용 - 네트워크 장비의 펌웨어 업데이트 및 관리자 비밀번호 변경 필수 중국과 연계된 해킹 조직이 미국, 동남아, 한국 등지의 가정용·소형 오피스(SOHO) 네트워크 장비 1,000여 대를 감염시켜 장기 사이버

The Tech EdgeCheifEditor

북한 베꼈나...이란에서 부활한 페이투키 랜섬웨어 그룹

💡Editor’s Pick - 이란의 악명 높은 랜섬웨어 그룹, 다시 활동 시작 - 이란 정부와 연계된 듯...랜섬웨어 수익을 이란 옹호 세력과 나누기도 - 이전보다 업그레이드 된 모습...이-이 정전 협정 악용하려는 듯 돈과 정치적 신념 모두를 좇는 독특한 랜섬웨어 그룹이 부활했다. 페이투키(Pay2Key)라는 이름을 가진 이란 랜섬웨어 조직이다. 보안

The Tech EdgeJustAnotherEditor