11일 카스퍼스키랩(한국지사장 이창훈)은 지난 몇 년 간 중동지역의 안드로이드 기기 사용자를 노린 정교한 사이버스파이 캠페인인 ‘주팍’을 자사 연구진이 발견했다며 이같이 밝혔다.

카스퍼스키랩 발표에 따르면 ‘주팍’은 기술적으로 단순한 사이버스파이 악셩코드였지만, 추가조사 결과 정교한 최신버전이 유포되고 있는 것으로 나타났다. ‘주팍’의 일부는 중동 일부 지역에서 인기 있는 뉴스 및 정치 웹사이트를 통해 유포됐다. 이 일부 악성코드는 ‘텔레그램그룹(TelegramGroups)’나 ‘알나하르이집트 뉴스(Alnaharegypt news)’와 같은 이름으로 정상적인 앱으로 위장했다.

‘주팍’은 피해자 기기에 설치되면 데이터 유출 및 백도어 역할을 수행한 것으로 조사됐다. ‘주팍’은 모바일 기기에 저장된 사용자의 ▲연락처 ▲계정데이터 ▲통화기록 및 통화 녹음 파일 ▲사진 ▲GPS 위치 정보 ▲문자 메시지 ▲설치된 앱 정보 및 브라우저 데이터 ▲키로그 및 클립보드 데이터 등을 유출한다.

또한, 백도어 기능으로 사용자 모르게 문자 메시지 전송 및 통화 발신과 셀명령 실행 등을 수행한다. 여기에 ‘텔레그램’, ‘왓츠앱(WhatsApp) IMO’와 같은 메신저, 웹 브라우저 및 기타 앱을 노리는 기능이 새롭게 추가돼 공격자가 감염된 앱의 내부 데이터베이스를 훔칠 수도 있다.

조사 결과 공격자는 이집트, 요르단, 모로코, 레바논, 이란의 사용자를 주로 노린 것으로 보인다. 공격자가 피해자를 유인하기 위해 미끼로 활용한 뉴스의 주제나 제목으로 미뤄보아 국제연합 팔레스타인 난민 구호기구의 회원이 ‘주팍’의 주요 표적인 것으로 추정된다.

이창훈 카스퍼스키랩코리아 지사장은 “오늘날 모바일 기기는 사람들에게 주요 통신 수단 또는 유일한 통신 수단으로 자리 잡았고, 이 점을 활용해 해킹집단은 모바일 사용자를 손쉽게 추적할 수 있는 도구를 개발하고 있다”며, “중동 지역의 사용자를 대상으로 사이버 스파이 노릇을 한 ‘주팍’이 대표적인 예로, 불행히도 이런 악성코드가 ‘주팍’ 하나만 있지는 않을 것”이라고 말했다.

한편, 카스퍼스키랩 연구진은 ‘주팍’ 군에 해당하는 사이버스파이 악성코드가 최소한 2015년 이후에 활동을 시작해 4차례 이상 업데이트된 것으로 판단했다. ‘주팍’은 카스퍼스키랩 제품으로 탐지 및 차단할 수 있다.