[2018.11.07] 해커 그레이웨어, 가짜 로그인 페이지 활용 텔레그램, 인스타그램 사용 이란인 목표 공격

<조사 기관>

Cisco Talos 발표

<공격내용> 

비공식 iOS와 안드로이드 앱으로 인스타그램과 텔레그램 라이크, 댓글, 팔로워 등을 늘릴 수 있도록 계정을 많이 노출시켜 준다면서 현혹

사용자가 텔레그램 클론을 설치하도록 유도함. (클론이 설치된 휴대전화의 모든 연락처와 메시지에 접근이 가능함)

가짜 인스타그램 앱은 풀 세션 데이터를 해커에게 보냄(해커는 계정의 모든 컨트롤이 가능해 짐)

위의 악성 앱들은 데이터를 호스트 서버로 전송하고 이란에 위치한 IP주소로 감염된 장비들을 컨트롤 함.

1)그레이웨어 활용: 사용자의 인스타그램 비밀번호 없이, 공격자는 유저세션을 가로챌 수 있음 (텔레그램의 경우 연락처와 메시지에 접근가능)

2)가짜 로그인 페이지 활용 : ""Charming Kitten"" 그룹이 오랫동안 사용하던 방식

공격자가  장치의 BGP 프로토콜을 하이재킹하여 트래픽을 리다이렉하는 방식 

(이는 인터넷서비스제공자(ISP)의 협조가 필요한 공격)

<공격대상>

이란을 대상으로 한 공격이나, 이에 대한 연관관계를 찾지 못함. 

공격은 이란, 러시아와 같은 텔레그램과 이와 유사한 앱을 차단한 국가에 위협으로 다가옴

*현재 이란에서는 이란 정부의 사용 금지를 피해, 다양한 텔레그램 클론이 다운받아지고 있음

출처 : https://www.securityweek.com/hackers-target-telegram-instagram-users-iran