금융기관, 가상화폐 거래소, 국가 조직을 겨냥한 신종 안드로이드 원격 접근 트로이 목마(RAT)인 ’드로이드봇(DroidBot)’이 발견됐다.

사기 방지 전문 기업 클리피(Cleafy)는 2024년 10월 말 해당 악성코드를 처음 발견했다고 밝혔다. 하지만 조사 결과, 드로이드봇은 최소 2024년 6월부터 활동을 시작한 것으로 보이며, 매달 3,000달러를 지불하는 악성코드 서비스형 모델(MaaS)로 운영되고 있는 것으로 드러났다.

스파이웨어와 VNC, 오버레이 공격의 결합

클리피 연구원들은 드로이드봇에 대해 “스파이웨어 기능인 키로깅과 사용자 인터페이스 모니터링 외에도 숨겨진 VNC(원격 데스크톱 연결)와 오버레이 공격 기법을 결합한 현대적 형태의 RAT”라고 설명했다.

특히, 드로이드봇은 명령 제어(C2) 통신에 두 가지 채널을 사용하는 독특한 방식으로 작동한다. 명령 수신에는 HTTPS를 사용하고, 감염된 장치에서 전송되는 데이터는 MQTT(Message Queuing Telemetry Transport) 프로토콜을 이용해 송출한다.

연구원들은 “이러한 분리된 방식은 운영의 유연성과 복원력을 크게 강화한다”고 평가했다. MQTT 브로커는 감염된 장치와 C2 인프라 간 교환되는 통신 유형을 특정 주제(topic)로 분류해 조직화하는 데 사용된다.

클리피는 최소 17개의 제휴 그룹이 드로이드봇을 활용한 공격에 관여했다고 밝혔다. 제휴 그룹은 웹 패널에 접근해 악성 APK 파일을 생성하거나 감염된 장치에 명령을 내리는 등 다양한 작업을 수행할 수 있다.

드로이드봇은 주로 일반 보안 애플리케이션, 구글 크롬(Google Chrome), 혹은 인기 있는 금융 앱으로 위장해 배포되고 있으며, 오스트리아, 벨기에, 프랑스, 이탈리아, 포르투갈, 스페인, 터키, 영국 등에서 활발히 탐지되고 있다.

드로이드봇 개발자의 정확한 신원은 밝혀지지 않았으나, 분석된 악성코드 샘플에서 터키어를 사용하는 흔적이 발견됐다. 클리피 연구원들은 “기술적 측면에서는 기존 악성코드와 유사한 점이 많아 크게 돋보이지 않는다”면서도 “다만 악성코드를 서비스 형태로 제공하는 운영 모델은 일반적으로 이런 유형의 위협에서 보기 드문 특징”이라고 덧붙였다.

드로이드봇의 등장은 금융기관과 암호화폐 분야를 겨냥한 사이버 위협이 더욱 정교해지고 있음을 보여준다. 전문가들은 애플리케이션 다운로드 시 주의를 기울이고, 기기 보안 업데이트를 정기적으로 수행하며, 강력한 보안 솔루션을 통해 위협을 사전에 차단할 것을 권장했다.

드로이드봇의 악성 서비스 모델이 전 세계적으로 확산되면서 보안 전문가들은 향후 이와 유사한 위협에 대한 대응 방안을 강화해야 할 필요성을 강조하고 있다. 한국도 각별한 주의가 요구된다.