'GoldFactory'로 알려진 금전적 동기를 가진 그룹과 연계된 사이버 범죄자들이 정부 서비스를 사칭하여 인도네시아, 태국, 베트남의 모바일 사용자를 대상으로 새로운 공격을 감행하고 있는 것으로 관측되었다.   보안 기업은 수요일 발표한 기술 보고서에서, 2024년 10월부터 관측된 이 활동은 안드로이드 맬웨어의 통로 역할을 하는 변조된 뱅킹 애플리케이션을 배포하는 것을 포함한다고 밝혔다.   2023년 6월부터 활동한 것으로 평가되는 GoldFactory는 싱가포르에 본사를 둔 보안 기업이 안드로이드와 iOS 기기를 모두 겨냥한 GoldPickaxe, GoldDigger, GoldDiggerPlus와 같은 맞춤형 맬웨어 패밀리를 사용하는 이 위협 행위자에 대해 자세히 설명한 작년 초 처음 주목을 받았다.   증거에 따르면 GoldFactory는 2023년 중반에 발견된 또 다른 안드로이드 맬웨어인 'Gigabud'와 밀접한 관련이 있는 잘 조직된 중국어 사용 사이버 범죄 그룹이다.    코드베이스의 큰 차이에도 불구하고 GoldDigger와 Gigabud는 사칭 대상과 랜딩 페이지에서 유사점을 공유하는 것으로 밝혀졌다.   최근 공격의 첫 사례는 태국에서 탐지되었으며, 이후 위협은 2024년 말과 2025년 초에 베트남에서, 2025년 중반부터는 인도네시아에서 나타났다.   보안 기업은 인도네시아에서 약 2,200건의 감염을 유발한 300개 이상의 고유한 변조 뱅킹 애플리케이션 샘플을 확인했다고 밝혔다.    추가 조사 결과 최소 11,000건의 감염을 유발한 것으로 추정되는 3,000개 이상의 아티팩트가 발견되었다.    변조된 뱅킹 앱의 약 63%는 인도네시아 시장을 겨냥한 것이다.   요약하자면, 감염 사슬은 정부 기관이나 신뢰할 수 있는 지역 브랜드를 사칭하여 잠재적 표적에게 전화를 걸고, Zalo와 같은 메시징 앱으로 전송된 링크를 클릭하도록 지시하여 맬웨어를 설치하도록 속이는 방식을 포함한다.   보안 기업이 기록한 적어도 한 사례에서, 사기꾼들은 베트남의 공공 전력 회사인 EVN을 가장하여 피해자들에게 연체된 전기 요금을 납부하지 않으면 서비스가 즉시 중단될 위험이 있다고 재촉했다.    통화 중 위협 행위자들은 피해자들에게 앱을 다운로드하고 계정을 연결할 수 있는 링크를 받기 위해 Zalo에서 친구 추가를 요청한 것으로 알려졌다.       [그림 1. GoldFactory의 단계별 공격 체인]     이 링크는 피해자를 Google Play 스토어 앱 목록으로 위장한 가짜 랜딩 페이지로 리디렉션하며, 그 결과 Gigabud, MMRat 또는 올해 초 GoldFactory와 동일한 전술을 사용하여 등장한 Remo와 같은 원격 액세스 트로이 목마(RAT)가 배포된다.    이러한 드로퍼(dropper)들은 안드로이드의 접근성 서비스를 악용하여 원격 제어를 용이하게 하는 메인 페이로드를 위한 기반을 마련한다.   보안 연구원은 "이 맬웨어는 [...] 원본 모바일 뱅킹 애플리케이션을 기반으로 한다"고 말했다.    "이는 애플리케이션의 일부분에만 악성 코드를 주입하여 작동하므로 원본 애플리케이션은 정상적인 기능을 유지할 수 있다."   "주입된 악성 모듈의 기능은 대상마다 다를 수 있지만, 주로 원본 애플리케이션의 보안 기능을 우회한다."   구체적으로, 이는 애플리케이션 로직에 후킹(hooking)하여 맬웨어를 실행하는 방식으로 작동한다.    변조된 애플리케이션에서 런타임 후킹을 수행하는 데 사용된 프레임워크에 따라 FriHook, SkyHook, PineHook이라는 세 가지 맬웨어 패밀리가 발견되었다.    이러한 차이에도 불구하고 모듈의 기능은 겹치며 다음과 같은 기능을 수행할 수 있다. 접근성 서비스가 활성화된 애플리케이션 목록 숨기기 스크린캐스트 탐지 방지 안드로이드 애플리케이션의 서명 스푸핑(Spoofing) 설치 소스 숨기기 사용자 지정 무결성 토큰 공급자 구현 피해자의 계좌 잔액 확보   SkyHook은 공개적으로 사용 가능한 Dobby 프레임워크를 사용하여 후킹을 실행하는 반면, FriHook은 합법적인 뱅킹 애플리케이션에 주입된 Frida 가젯을 사용한다.    PineHook은 이름에서 알 수 있듯이 Pine이라는 Java 기반 후킹 프레임워크를 활용한다.   보안 기업은 GoldFactory가 구축한 악성 인프라를 분석한 결과, Gigabud 맬웨어의 후속 버전일 가능성이 높은 'Gigaflower'라는 새로운 안드로이드 맬웨어 변종의 출시 전 테스트 빌드도 발견했다고 밝혔다.   이는 WebRTC를 사용한 실시간 화면 및 기기 활동 스트리밍을 활성화하기 위한 약 48개의 명령을 지원하며, 키로깅, 사용자 인터페이스 콘텐츠 읽기, 제스처 수행을 위해 접근성 서비스를 악용하고, 시스템 업데이트, PIN 프롬프트, 계정 등록 등을 모방한 가짜 화면을 제공하여 개인 정보를 수집하며, 내장된 텍스트 인식 알고리즘을 사용하여 신분증 이미지에서 데이터를 추출한다.   또한 현재 베트남 신분증의 QR 코드를 판독하려는 QR 코드 스캐너 기능도 개발 중인데, 이는 세부 정보를 캡처하는 과정을 간소화하려는 목적인 것으로 보인다.   흥미롭게도 GoldFactory는 맞춤형 iOS 트로이 목마를 버리고, 대신 피해자에게 가족이나 친척으로부터 안드로이드 기기를 빌려 과정을 계속 진행하도록 지시하는 특이한 접근 방식을 취한 것으로 보인다.    이러한 변화의 원인은 현재 명확하지 않으나, iOS의 더 엄격한 보안 조치와 앱 스토어 검열 때문인 것으로 추정된다.   보안 연구원들은 "이전 캠페인들이 KYC(고객 알기 제도) 프로세스를 악용하는 데 초점을 맞췄다면, 최근 활동은 사기를 저지르기 위해 합법적인 뱅킹 애플리케이션을 직접 패치하는 모습을 보여준다"라고 말했다.    "Frida, Dobby, Pine과 같은 합법적인 프레임워크를 사용하여 신뢰할 수 있는 뱅킹 애플리케이션을 변조하는 것은 사이버 범죄자들이 기존 탐지 방법을 우회하고 운영을 신속하게 확장할 수 있게 하는 정교하면서도 비용 효율적인 접근 방식을 보여준다."       출처 https://thehackernews.com/2025/12/goldfactory-hits-southeast-asia-with.html    

    한 국제 인권 단체는 보고서에서 파키스탄 발루치스탄 주의 인권 변호사가 알 수 없는 번호로부터 왓츠앱(WhatsApp)을 통해 의심스러운 링크를 받았으며, 이는 이 국가의 시민 사회 구성원이 Intellexa의 Predator 스파이웨어의 표적이 된 첫 사례라고 밝혔다. 이 비영리 단체는 해당 링크가 감염 서버의 기술적 동작과 이전에 관찰된 Predator 원클릭 링크와 일치하는 일회성 감염 링크의 특정 특성을 기반으로 한 Predator 공격 시도라고 말했다. 파키스탄은 이에 진실이 전혀 없다며 혐의를 일축했다. 이 결과는 여러 언론사와 기술 사이트가 협력하여 발표된 새로운 공동 조사에서 나온 것이다. 이는 내부 문서, 영업 및 마케팅 자료, 교육 비디오를 포함하여 회사에서 유출된 문서 및 기타 자료를 기반으로 한다. Intellexa는 NSO 그룹의 Pegasus와 유사하게 대상의 인지 없이 안드로이드(Android) 및 iOS 기기에서 민감한 데이터를 은밀하게 수집할 수 있는 Predator라는 용병 스파이웨어 도구의 제조사이다. 유출된 자료에 따르면 Predator는 Helios, Nova, Green Arrow, Red Arrow로도 마케팅되었다. 종종 이는 이전에 공개되지 않은 결함을 무기화하는 메시징 플랫폼과 같은 다른 초기 접근 벡터를 사용하여 제로 클릭(Zero-click) 또는 원클릭(1-click) 접근 방식을 통해 스파이웨어를 은밀하게 설치하는 것을 포함한다. 따라서 감염을 유발하려면 대상의 폰에서 악성 링크를 열어야 한다. 피해자가 조작된 링크를 클릭하면 구글 크롬(Android) 또는 애플 사파리(iOS)용 브라우저 익스플로잇이 로드되어 기기에 대한 초기 접근 권한을 얻고 메인 스파이웨어 페이로드를 다운로드한다. 한 보안 위협 인텔리전스 그룹의 데이터에 따르면 Intellexa는 자체 개발하거나 외부에서 조달한 다수의 제로데이 취약점 악용과 연관되어 있다. 2023년 이집트의 표적에 사용된 iOS 제로데이 익스플로잇 체인 중 하나는 CVE-2023-41993과 JSKit이라는 프레임워크를 활용하여 네이티브 코드 실행을 수행했다. 보안 연구진은 러시아 정부가 지원하는 해커들이 몽골 정부 웹사이트를 대상으로 조율한 워터링 홀 공격에서도 동일한 익스플로잇과 프레임워크가 사용된 것을 관찰했다고 밝혔으며, 이는 익스플로잇이 제3자로부터 공급되었을 가능성을 제기한다.   [그림 1. Intellexa의 스파이웨어 제품 기능을 보여주는 마케팅 브로셔]     보안 연구진은 JSKit 프레임워크가 잘 관리되고 있으며 광범위한 iOS 버전을 지원하고 다양한 PAC(Pointer Authentication Code) 우회 및 코드 실행 기술을 지원할 만큼 모듈식이라고 설명했다. 이 프레임워크는 메모리 내 Mach-O 바이너리를 파싱하여 사용자 정의 심볼을 해결할 수 있으며 궁극적으로 메모리에서 직접 Mach-O 바이너리를 수동으로 매핑하고 실행할 수 있다. [그림 2. 대상을 관리하고 수집된 감시 데이터를 보는 데 사용되는 PDS(Predator Delivery Studio) 대시보드 인터페이스]   CVE-2023-41993을 악용한 후 공격은 사파리 샌드박스를 탈출하기 위해 2단계로 이동하고 CVE-2023-41991 및 CVE-2023-41992를 이용하여 PREYHUNTER라는 신뢰할 수 없는 3단계 페이로드를 실행한다. PREYHUNTER는 두 개의 모듈로 구성된다. Watcher는 충돌을 모니터링하고 감염된 기기가 의심스러운 동작을 보이지 않도록 하며 이러한 패턴이 감지되면 익스플로잇 프로세스를 종료한다. Helper는 유닉스(Unix) 소켓을 통해 익스플로잇의 다른 부분과 통신하고 훅을 배포하여 VoIP 대화를 녹음하고 키로거를 실행하며 카메라에서 사진을 캡처한다. Intellexa는 또한 크롬의 다양한 V8 결함을 악용하는 사용자 정의 프레임워크를 사용하는 것으로 알려져 있으며, 2025년 6월 사우디아라비아에서 CVE-2025-6554의 악용이 관찰되었다. 도구가 설치되면 메시징 앱, 통화, 이메일, 기기 위치, 스크린샷, 비밀번호 및 기타 온디바이스 정보를 수집하여 고객 국가에 물리적으로 위치한 외부 서버로 유출한다. Predator는 또한 기기의 마이크를 활성화하여 주변 소리를 조용히 캡처하고 카메라를 활용하여 사진을 찍는 기능을 갖추고 있다. 이 회사와 일부 주요 임원들은 작년에 감시 도구를 개발 및 배포하고 시민의 자유를 훼손한 혐의로 미국의 제재를 받았다. 지속적인 공개 보고에도 불구하고, 한 보안 회사는 2025년 6월 아프리카를 중심으로 12개 이상의 국가에서 Predator 관련 활동을 탐지했다고 밝혔으며, 이는 스파이웨어 도구에 대한 수요가 증가하고 있음을 시사한다. 아마도 가장 중요한 폭로는 Intellexa에서 근무하는 사람들이 TeamViewer를 사용하여 정부 고객의 구내에 있는 시스템을 포함하여 적어도 일부 고객의 감시 시스템에 원격으로 접근할 수 있는 기능을 가지고 있었다는 점이다. 한 보안 연구소의 기술자는 적어도 일부 경우에 Intellexa가 Predator 고객 로그에 원격으로 접근할 수 있는 기능을 유지한 것으로 보이며, 이를 통해 회사 직원이 감시 작전 및 표적 개인에 대한 세부 정보를 볼 수 있다는 사실은 자체적인 인권 실사 과정에 대한 의문을 제기한다고 말했다. 만약 용병 스파이웨어 회사가 제품 운영에 직접 관여한 것으로 밝혀진다면 인권 기준에 따라 오용 사례 및 스파이웨어 사용으로 인한 인권 침해가 발생할 경우 잠재적으로 책임 청구에 노출될 수 있다. 보고서는 또한 대상이 수동으로 클릭할 필요 없이 악성 링크 열기를 유발하기 위해 Intellexa가 채택한 다양한 전달 벡터를 강조했다. 여기에는 Triton, Thor, Oberon과 같은 전술적 벡터뿐만 아니라 인터넷이나 모바일 네트워크를 통해 원격으로 전달되는 전략적 벡터가 포함된다. 세 가지 전략적 벡터는 다음과 같다. Mars와 Jupiter는 네트워크 인젝션 시스템으로, Predator 고객과 피해자의 모바일 운영자 또는 인터넷 서비스 제공업체(ISP) 간의 협력이 필요하다. 이는 감염을 활성화하기 위해 대상이 암호화되지 않은 HTTP 웹사이트를 열거나 유효한 TLS 인증서를 사용하여 이미 가로채진 국내 HTTPS 웹사이트를 방문할 때를 기다려 AitM(Adversary-in-the-Middle) 공격을 수행한다. Aladdin은 모바일 광고 생태계를 악용하여 특별히 제작된 광고를 보는 것만으로도 트리거되는 제로 클릭 공격을 수행한다. 이 시스템은 적어도 2022년부터 개발 중인 것으로 추정된다. 인권 단체는 Aladdin 시스템이 공격자가 만든 악성 광고가 대상의 폰에 강제로 표시되도록 하여 감염시킨다고 말했다. 이 악성 광고는 광고를 표시하는 모든 웹사이트에서 제공될 수 있다.   [그림 3. 체코 클러스터와 연결된 Intellexa의 기업 웹 매핑]   구글은 제3자 플랫폼에서의 악성 광고 사용이 사용자를 핑거프린팅하고 표적 사용자를 Intellexa의 익스플로잇 전달 서버로 리디렉션하기 위해 광고 생태계를 악용하려는 시도라고 말했다. 또한 Intellexa가 광고를 생성하기 위해 만든 회사를 식별하고 해당 계정을 폐쇄하기 위해 다른 파트너와 협력했다고 말했다. 별도의 보고서에서 한 보안 회사는 광고 부문에서 운영되는 것으로 보이며 Aladdin 감염 벡터와 관련이 있을 가능성이 있는 Pulse Advertise와 MorningStar TEC라는 두 회사를 발견했다고 말했다. 또한 사우디아라비아, 카자흐스탄, 앙골라, 몽골에 기반을 둔 Intellexa 고객들이 여전히 Predator의 다계층 인프라와 통신하고 있다는 증거가 있다. 반면 보츠와나, 트리니다드 토바고, 이집트의 고객들은 2025년 6월, 5월, 3월에 각각 통신을 중단했다. 이는 이들 기관이 해당 시점에 Predator 스파이웨어 사용을 중단했음을 나타낼 수 있지만, 인프라 설정을 단순히 수정하거나 마이그레이션했을 가능성도 있다.       출처 https://thehackernews.com/2025/12/intellexa-leaks-reveal-zero-days-and.html

    감시 회사 인텔렉사(Intellexa)의 프레데터(Predator) 스파이웨어가 악성 광고를 보는 것만으로 특정 대상을 감염시키는 "알라딘(Aladdin)"이라는 제로 클릭(zero-click) 감염 메커니즘을 사용해 온 것으로 드러났다.   이 강력하고 이전에는 알려지지 않았던 감염 경로는 여러 국가에 걸쳐 있는 유령 회사(페이퍼 컴퍼니) 뒤에 치밀하게 숨겨져 있었으나, 보안 연구소와 매체의 새로운 공동 조사를 통해 밝혀졌다.   이번 조사는 유출된 내부 회사 문서 및 마케팅 자료 모음인 '인텔렉사 유출본(Intellexa Leaks)'을 기반으로 하며, 다양한 보안 기업의 포렌식 및 보안 전문가들의 기술적 연구로 입증되었다.     [그림 1. 유출된 인텔렉사 마케팅 자료]     2024년 처음 배포되어 현재도 운영 및 활발히 개발 중인 것으로 추정되는 알라딘(Aladdin)은 상용 모바일 광고 시스템을 활용하여 멀웨어를 전달한다.   이 메커니즘은 공인 IP 주소 및 기타 식별자로 확인된 특정 대상에게 무기화된 광고를 강제로 노출시키며, DSP(Demand Side Platform)를 통해 플랫폼에 지시하여 광고 네트워크에 참여하는 모든 웹사이트에서 해당 광고를 제공하도록 한다.   보안 연구소는 "이 악성 광고는 신뢰할 수 있는 뉴스 웹사이트나 모바일 앱 등 광고를 표시하는 모든 웹사이트에서 제공될 수 있으며, 대상이 볼 법한 여느 일반적인 광고처럼 보인다."라고 설명한다.   "내부 회사 자료에 따르면 광고를 클릭할 필요 없이 단순히 광고를 보는 것만으로도 대상 기기에서 감염을 유발하기에 충분하다고 설명하고 있다."     [그림 2. 알라딘 개요]     감염 작동 방식에 대한 구체적인 세부 사항은 알려지지 않았지만, 보안 기업은 해당 광고가 인텔렉사의 익스플로잇(취약점 공격) 전달 서버로 리디렉션을 트리거한다고 언급했다.   이 광고들은 아일랜드, 독일, 스위스, 그리스, 키프로스, UAE, 헝가리 등 여러 국가에 걸친 복잡한 광고 회사 네트워크를 통해 유입된다.   보 기업은 이 광고 네트워크를 심층 조사하여 주요 인물, 기업, 인프라 간의 연결 고리를 찾아냈으며, 보고서에서 해당 기업 중 일부를 명시했다.   이러한 악성 광고를 방어하는 것은 복잡하지만, 브라우저에서 광고를 차단하는 것이 좋은 출발점이 될 수 있다.   또 다른 잠재적인 방어 조치는 브라우저가 추적기로부터 공인 IP를 숨기도록 설정하는 것이다.   그러나 유출된 문서는 인텔렉사가 여전히 고객 국가의 현지 이동통신사로부터 해당 정보를 얻을 수 있음을 보여준다.     [그림 3. 프레데터 활동이 확인된 국가들]     유출된 자료의 또 다른 주요 발견은 또 다른 전달 경로인 '트라이톤(Triton)'의 존재가 확인된 점이다.    이는 베이스밴드 익스플로잇을 사용하여 삼성 엑시노스 탑재 기기를 타겟팅할 수 있으며, 감염의 기반을 마련하기 위해 강제로 2G로 다운그레이드 시킨다.   보안 분석가들은 이 경로가 여전히 사용되는지는 확신하지 못하고 있으며, 무선 통신이나 물리적 접근 공격을 포함하는 것으로 보이는 '토르(Thor)'와 '오베론(Oberon)'이라는 코드명의 다른 두 가지 유사한 전달 메커니즘이 존재한다고 언급했다.   보안 연구원들은 인텔렉사를 제로데이 공격 측면에서 가장 많은 활동을 하는 상업용 스파이웨어 공급업체 중 하나로 지목했으며, 2021년 이후 보안 그룹이 발견하고 기록한 70건의 제로데이 공격 사례 중 15건이 이들의 소행이라고 밝혔다.   보안 기업은 인텔렉사가 자체적으로 익스플로잇을 개발할 뿐만 아니라, 필요한 타겟팅 범위를 모두 커버하기 위해 외부 기관으로부터 익스플로잇 체인을 구매하기도 한다고 말했다.   보안 연구소에 따르면 그리스에서 인텔렉사에 대한 제재와 조사가 진행 중임에도 불구하고, 이 스파이웨어 운영자는 그 어느 때보다 활발하게 활동하고 있다.   프레데터가 점점 더 은밀하고 추적하기 어렵게 진화함에 따라, 사용자들은 안드로이드의 '고급 보호 프로그램(Advanced Protection)'이나 iOS의 '차단 모드(Lockdown Mode)'와 같은 추가 보호 기능을 모바일 기기에서 활성화하는 것을 고려할 것이 권장된다.       출처 https://www.bleepingcomputer.com/news/security/predator-spyware-uses-new-infection-vector-for-zero-click-attacks/