'래틀 RAT'로 알려진 오픈소스 안드로이드 악성코드가 새로운 위협으로 떠오르고 있다. 래틀 RAT의 작동 방식, 주요 표적, 그리고 사용자들이 자신을 보호하려면 어떻게 해야 할까.

래틀 RAT는 안드로이드 기기를 겨냥한 원격 액세스 트로이 목마(RAT)다. 오픈 소스 특성상 다양한 사이버 범죄자들이 쉽게 접근할 수 있다. 특히 이 악성코드는 더 이상 보안 업데이트를 받지 않는 구형 안드로이드 기기를 주로 공격 대상으로 삼고 있다.

래틀 RAT는 주로 인스타그램, 왓츠앱, 전자상거래 플랫폼, 그리고 안티바이러스 앱 등 잘 알려진 브랜드를 악용해 확산된다. 사용자는 정상적인 앱으로 착각하고 악성 APK를 다운로드하게 되는데, 설치 후 이 악성코드는 배터리 최적화 예외 권한 등을 요청해 백그라운드에서 계속 실행될 수 있게 한다.

이 악성코드의 주요 기능은 다음과 같다.

-파일 암호화(랜섬웨어): 파일 암호화 프로세스를 시작하여 사용자 데이터를 잠근다.

-파일 삭제(wipe): 지정된 경로 아래의 모든 파일을 삭제한다.

-화면 잠금(LockTheScreen): 기기의 화면을 잠가 사용할 수 없게 만든다.

-SMS 및 2FA 코드 유출(sms_oku): 모든 SMS 메시지와 이중 인증 코드를 서버로 유출한다.

-위치 추적(location_tracker): 실시간으로 기기의 위치를 서버로 유출한다.

체크포인트 연구진은 래틀 RAT를 이용한 120개 이상의 캠페인을 발견했다고 밝혔다. 이 캠페인 중 일부는 APT-C-35(DoNot 팀)와 같은 유명한 위협 행위자들이 주도했으며, 다른 일부는 이란과 파키스탄에서 기원한 것으로 나타났다. 주로 미국, 중국, 인도네시아의 정부 및 군사 기관을 포함한 고위 기관이 주요 표적이 되었다.

감염된 기기의 대부분은 더 이상 보안 패치를 받지 않는 안드로이드 버전 11 이하를 실행 중인 것으로 나타났으며, 이는 전체 감염 기기의 87.5%를 차지했다.

래틀 RAT의 가장 위험한 기능 중 하나는 랜섬웨어 모듈이다. 이 모듈이 활성화되면 사전 정의된 AES 키를 사용하여 피해자의 기기 파일을 암호화한다. 만약 악성코드가 기기 관리자(DeviceAdmin) 권한을 얻으면, 잠금 화면 비밀번호 변경, 랜섬 노트 표시 등의 추가적인 제어가 가능하다.

래틀 RAT의 위협을 막기 위해 사용자는 신뢰할 수 있는 출처에서만 앱을 다운로드하고 최신 안드로이드 버전을 실행하여 지속적인 보안 패치를 받아야 한다. 또 평판 좋은 안티바이러스 및 안티멀웨어 앱을 사용하여 위협을 차단하고 감염 시 안전 모드로 부팅하여 설정에서 악성 앱을 제거해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★