안드로이드 스파이웨어 Asin, 가짜 뉴스·PDF·전쟁 지도 앱으로 아랍 사용자 표적.
출처: The Hacker News
Ravie LakshmananJun 05, 2026스파이웨어 / 모바일 보안
아랍어 사용자를 대상으로 하는 새로운 안드로이드 스파이웨어 Asin이 발견되었다고 ESET의 조사 결과가 밝혔습니다.
슬로바키아 사이버보안 기업은 2025년 초에 여러 캠페인을 통해 이 악성코드를 처음 탐지했으며, 각 공격 파동마다 유틸리티, 전쟁 관련 업데이트, 정부 뉴스 소스를 모방한 별도의 웹사이트를 이용했다고 전했습니다.
- govlens[.]net – 정부 뉴스 소스를 사칭 (2025년 5월 27일 등록)
- pdf-reader[.]help – 보안 PDF 편집기를 사칭 (2025년 5월 29일 등록)
- live-war-map[.]com – 군사 사건 업데이트를 제공한다고 주장 (2025년 1월 20일 등록)
이 중 두 웹사이트인 govlens[.]net와 live-war-map[.]com은 페이스북 및 텔레그램과 같은 소셜 미디어 플랫폼의 전용 계정을 통해서도 홍보되었습니다.
- www.facebook[.]com/GovLens
- t[.]me/liveuamap_ar
“ESET는 “각 웹사이트가 정식 기능과 은밀한 스파이웨어 기능을 결합한 악성 앱을 배포한다”고 설명했습니다.
해당 사이버보안 기업은 텔레그램 채널 이름이 Live Universal Awareness Map(Liveuamap)에서 영감을 받은 것으로 보인다고 밝혔습니다. Liveuamap은 전 세계 분쟁, 인권 문제, 자연 재해 및 지정학적 사건을 지도화하는 잘 알려진 정식 플랫폼입니다.
이후 Asin과 관련된 여러 아티팩트가 확인되었습니다. 여기에는 2025년 10월 터키에서 VirusTotal에 업로드된 샘플, 2025년 12월 “c-pdf[.]net” 도메인에서 안드로이드 15를 실행 중인 Xiaomi Redmi Note 13 Pro 기기로 다운로드된 APK, 그리고 2026년 1월 중순경 안드로이드 15를 탑재한 Xiaomi Redmi Note 13 Pro+ 5G 기기에서 “Syria Defense Map”으로 위장된 세 번째 샘플이 포함됩니다.
마지막 경우, 해당 APK는 “syriadefensemap[.]com”이라는 웹사이트에서 다운로드된 것으로 알려졌습니다. 사용자는 앱을 수동으로 설치하고 스파이웨어가 목적을 달성하도록 필요한 권한을 부여해야 합니다.
ESET에 따르면 이번 활동 클러스터는 아직 출처가 밝혀지지 않았으며, 캠페인의 주요 목표도 알려지지 않았습니다. 그러나 사용된 미끼를 보면 아랍어 사용 지역의 언론인 및 OSINT(오픈소스 정보) 연구자를 목표로 했을 가능성이 높다고 추정됩니다.
“우리가 발견한 5개의 사기성 앱 중 3개—GovLens, WarMap, Syria Defense Map—는 오픈소스 조사에 관심이 있는 사람들을 주 대상으로 만든 것으로 보입니다.”라며 “따라서 이번 일련의 활동이 최소한 부분적으로는 아랍어 사용 언론인이나 OSINT 실무자를 겨냥했을 가능성이 있습니다.”라고 덧붙였습니다.
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우해 주세요.