맥아피의 모바일 리서치 팀에 따르면, 이번 공격은 구글의 단축 URL을 활용해 악성 앱 다운로드를 유도했다. 해당 악성 앱은 ‘북한을 위한 기도(Pray for North Korea)’와 ‘블러드어시스턴트(BloodAssistant)’로 확인됐다. 두 악성 앱 모두 대부분의 클릭이 국내에서 발생했으며, 가장 많이 사용된 브라우저 및 운영 체제 조합은 ‘크롬’과 ‘윈도우’였고 ‘안드로이드’는 두 번째로 많았다.

맥아피는 이번 공격시도의 주체가 클라우드에서 삭제된 폴더 목록에 있던 ‘썬 팀 폴더(sun Team Folder)’라는 이름을 사용하는  공격자일 것으로 추정하고 있다. 이 조직은 클라우드 스토리지 생성일을 기준으로 2016년부터 활동하고 있는 것으로 추정된다. 한국의 드라마 ‘태양의 후예’, ‘그들이 사는 세상’의 주인공 이름을 클라우드 서비스 연결 계정으로 사용한 것으로 미뤄 짐작해 봤을 때 한국에 대해 잘 알고 있거나 연관이 깊은 조직으로 보이며, 탈북자와 탈북자를 돕는 단체 및 개인 등에 대한 감시 목적을 갖고 있는 것으로 맥아피는 추측했다.

맥아피가 분석한 자료에 따르면 이번 악성 APK 파일(추가 변종 포함)들은 피해자의 디바이스에 트로이목마를 설치한다. 설치된 트로이목마는 드롭박스(Dropbox)와 얀덱스(Yandex)를 제어 서버로 이용해 디바이스 제어를 위한 명령 및 기타 데이터를 포함한 파일을 다운로드한다. 수집된 정보들은 임시 폴더에 저장된 후 클라우드에 업로드된다.

이 클라우드 서비스 연결 계정에는 한국의 엔터테인먼트 콘텐츠와 관련된 이름이 사용됐고, ‘피형’이라는 단어가 발견됐다. ‘피형’은 북한에서 혈액형을 의미하는 단어다. 또한 악성 코드 유포에 사용된 계정과 연결된 일부 안드로이드 디바이스의 테스트 로그 파일에서 북한 IP 주소도 발견됐다. 그러나 이 IP는 와이파이(Wi-Fi)가 켜져 있을 때의 주소인 것으로 확인됐기 때문에, 개인 IP 주소일 가능성도 배제할 수 없다. 이러한 이유로 맥아피는 공격자의 국적이 어디인지 단정지을 수는 없지만, 한국에 대해 아주 잘 알고 있으며 탈북자 및 탈북자를 돕는 단체와 개인을 감시하는 목적을 갖고 있을 것으로 추정한다고 설명했다.

‘맥아피 모바일 시큐리티(McAfee Mobile Security)’는 이번 악성 코드를 ‘Android/HiddenApp.BP’로 탐지해 차단힌다.

송한진 맥아피코리아 지사장은 “맥아피가 분석한 자료에 따르면 이번 멀웨어는 종교나 헬스케어 관련 콘텐츠로 위장해 사람들의 경계를 무력화시키는 형태로 공격이 이뤄진 것으로 분석됐다”며, “변종을 통해 빠르게 진화하는 공격에 대비하기 위해서는 항상 모바일 보안 애플리케이션을 최신 버전으로 업데이트하고, 출처가 확인되지 않은 모바일 앱은 절대 설치하면 안되며, 특히 ‘카카오톡’을 포함한 모든 앱은 공식 스토어에서 설치할 것을 권고한다”고 말했다.