구글 크롬 웹브라우저를 업데이트하시오! /:/ 구글 플레이스토어 개발자계정을 사용한 범죄(악성코드가 들어간 앱 퍼블리시, 악성코드앱을 개발자 내부테스트기능을 이용해 타게팅 공격) 등

북한 해커들이 크롬브라우저의 보안취약점을 공격해 사람들 PC와 폰에 악성코드를 심고 개인정보를 훔쳤다는 기사.

 

데스크탑 기준으로, 크롬 브라우저는 윈도우 10 이상만 지원한다고 알고 있습니다.

 

북한 해커들, 크롬 보안 취약점공격해 신상정보 약탈, 가상화폐 절도

https://n.news.naver.com/mnews/article/020/0003584968

“北 해커들, 크롬 보안 취약점 공격해 가상화폐 절도”

마이크로소프트(MS)사가 2024.8.30일(현지시간) 발표한 보고서에 따르면 ‘시트린 슬리트’라고 불리는 북한의 해커 조직은 2024.8월 초 가상화폐를 보유 중인 기관과 개인을 공격하는 과정에서 크롬 브라우저의 보안상 취약점을 주로 노렸다.

해커들은 가짜 사이트를 만들어 마치 정상적인 가상화폐 거래 플랫폼인것처럼 가장해 이 사이트에 접속한 피해자들에게 악성 코드가 깔린 가짜 어플리케이션(앱) 등을 내려받도록 유도했다. 피해자들의 컴퓨터나 휴대전화를 악성 코드로 감염시킨 해커들은 가상화폐 절도에 필요한 각종 개인정보를 훔쳤다.

MS는 ‘시트린 슬리트’이 북한의 사이버테러를 지휘하는 정찰총국 121국 소속인 것으로 추정하고 있다. MS는 지난달 19일 이 같은 사실을 구글에 전달했는데 구글은 이때까지 이를 인지하지 못했다고 한다. ‘시트린 슬리트’의 해커들이 크롬의 보안 취약점을 공격해 훔친 가상화폐 규모는 아직 확인되지 않았다. - 동아일보 2024.9.1.

 

 

결국 앱을 내려받도록 했다는 겁니다. 저 기사처럼 가짜 사이트를 만들었을 수도 있지만, 요즘은 구글의 필터링에 걸리지 않게 앱을 앱마켓에 올리고, 앱 광고를 하는 식도 있는 모양이던데.. 구글도 그래서 앱 개발자 계정을 가끔씩 점검하는 것 같고.

 

 

공식 앱마켓도 이래요. (링크)

구글 검색: 구글 플레이스토어 악성코드

 

2023년 구글이 악성 앱 및 악의적 행위자에 대응한 방안 - 2024.4.29. 구글 코리아 블로그

https://blog.google/intl/ko-kr/products/android-play-hardware/how-we-fought-bad-apps-actors-2023-kr/

 

 

 

그 외 몇 가지 보이는 기사 정리.

 

2023년 보안뉴스.

구글 플레이스토어/애플 앱스토어의 취약점을 찾아 코드를 거래하고 개발자 계정을 매매하거나 개발자를 매수하는 짓이 다크웹에서 성행한다고

보안 업체 카스퍼스키(Kaspersky)는 4월 10일자 블로그를 통해 최근 가장 인기가 높은 다크웹 포럼들을 조사한 결과를 발표했다. 카스퍼스키가 2019년부터 2023년까지 추적한 대형 다크웹 포럼은 총 9개로, 이곳에서 사이버 범죄자들은 앱 개발자 계정에 대한 접근 권한, 봇넷, 악성 안드로이드 애플리케이션 등을 활발히 거래하고 있었다고 한다.

https://www.boannews.com/media/view.asp?idx=117016

구글 플레이 노리기 위한 사이버 범죄자들의 시장, 활성화 되어 있다

“예를 들어 직원 한 명이 BYOD(Bring Your Own Device) 정책을 통해 안드로이드 기반 모바일 장비를 회사에 가져왔다고 해요. 그리고 회사 네트워크에 연결시켜 놓고 앱을 다운로드 받았는데, 그게 악성 앱이었다고 하면 무슨 일이 일어날까요? 그 악성 앱이 정보 탈취 앱이었다면, 사이버 범죄자들은 해당 직원을 통해 기업 이메일에 들어가 각종 정보를 훔칠 수 있게 됩니다. 그 직원이 이메일로 비밀번호를 주고 받기라도 했다면 더 끔찍한 일이 일어날 수 있습니다.”

 

 

"더 고도화된 北해커" 구글플레이 기능 악용, 내 폰에 악성앱 심는다 - 머니투데이 2023.3.23

https://news.mt.co.kr/mtview.php?no=2023032216450466036

"더 고도화된 北해커" 구글플레이 기능 악용, 내 폰에 악성앱 심는다 - 머니투데이

(......) 북한 연계 해커조직이 'naver-com.cc'나 'dauum.net' 'goog1e.com' 등 짝퉁 메일로 공격하는 사례

구글플레이의 연동 기능을 악용해 피해자의 안드로이드 스마트폰에 자동으로 악성코드를 심는 방식도 확인

2023.3.22. 이스트시큐리티 알약 블로그 및 최근 국가정보원과 독일의 헌법보호청이 내놓은 '합동 보안 권고문'

'탈륨' '벨벳천리마' 등으로 불리는 킴수키 해킹조직이 한반도·북한 전문가를 공격하기 위해 구글에서 제공하는 브라우저와 앱 스토어 서비스를 악용한 사례가 확인
킴수키(KIMSUKY) 조직은 북한 정찰총국과 연계돼 있다고 알려진 대표적 해킹조직 (......)

공격자는 사전에 절취한 피해자의 구글 계정으로 로그인 한 후
피해자의 안드로이드 스마트폰에 악성 앱 설치를 시도
(그러고보니 계정접속하고 있으면 원격설치가 되죠)

악성앱을 구글플레이 콘솔(앱 개발자 사이트)에 '내부 테스트용'으로 등록하고
공격 대상자 계정을 테스트 대상으로 추가
한다. 이렇게 하면 공격자는 자신의 PC에서 피해자 구글 계정으로 로그인한 후 구글플레이스토어에 접속, 악성앱 설치를 요청한다. 악성앱을 설치할 디바이스(장치)로 구글 계정과 연동된 공격 대상자의 스마트폰을 설치하면 된다. 국정원은 "공격자가 악성앱을 내부 테스트용으로 등록하고 제한적으로 배포하는 것은 탐지를 최소화하고 특정 타깃을 대상으로 공격하기 위한 것"이라며 (......)