요약 : 보안 외신 시큐리티위크에 의하면 안드로이드 생태계를 위협하는 원격 접근 트로이목마(RAT)가 최근 유럽의 은행과 암호화폐 관련 단체들을 노리기 시작했다고 한다. 이 RAT의 이름은 드로이드봇(DroidBot)으로, 여태까지 한 번도 보고된 적이 없는 새 멀웨어다. 현재까지 프랑스, 이탈리아, 스페인, 튀르키예, 영국, 포르투갈에서 피해가 발생했다. 77개 은행과 암호화폐 거래소를 노리는 캠페인에서 활용되고 있으며, 오버레이 공격과 키로깅 공격, 피해자 감시 등의 기능과 유연성이 강조된 통신 기능을 탑재하고 있는 것으로 분석됐다. 보안 업체 클리파이(Cleafy)에 의하면 이 멀웨어가 현재 라틴아메리카 쪽으로 활동 반경을 넓히고 있다고 해 경계가 필요하다.


배경 : 드로이드봇이 활동을 시작한 건 2024년 중반부터인 것으로 추정되고 있다. 주로 보안이나 은행 애플리케이션 혹은 구글 서비스로 위장된 채 퍼지며, 안드로이드의 접근성 서비스를 통해 악성 행위를 실시한다. 피해자의 문자나 거래 내역을 훔치고, 그 외 민감한 정보를 화면 캡처나 키로깅 기능으로 가져갈 수도 있다.

말말말 : “듀얼채널 통신 메커니즘이 이 멀웨어의 독특한 점입니다. 외부로 나가는 패킷에는 MQTT 프로토콜을 활용하고, 내부로 들어오는 명령에는 HTTPS 프로토콜을 적용합니다. 이렇게 함으로써 C&C와 매우 유연하게 상호작용을 할 수 있게 됩니다.” -클리파이-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>