1백만 이상의 안드로이드 기기가 숨겨진 백도어에 의해 침해당함

사이버 보안 연구팀이 BADBOX 2.0이라는 대규모 사기 작전을 발견하고 부분적으로 방해하는 데 성공했습니다. 이 작전은 100만 대 이상의 안드로이드 기반 장치가 봇넷에 감염되어 있었습니다.

이 작전은 2023년에 드러난 원래의 BADBOX 캠페인의 발전 형태로, 저렴하고 인증되지 않은 소비자 기기에 사전 설치된 백도어를 활용하여 사이버 범죄 활동을 용이하게 했습니다.

HUMAN의 사토리 위협 정보 및 연구 팀이 Google, Trend Micro, Shadowserver 및 기타 파트너들과 협력하여 조사를 수행했고, 이 조사에서 BADBOX의 주범들이 BADBOX 2.0 계획의 확장과 강력하게 연결되어 있음을 밝혀냈습니다.

이 계획은 2023년에 공개된 원래의 BADBOX 작업을 기반으로 하며, 전 세계적으로 100만 대 이상의 무인증 저가형 안드로이드 장치를 침해한 가장 광범위한 봇넷(CTV, Connected TV – 연결된 TV 장치)을 대표합니다.

BADBOX 2.0은 브랜드가 없는 태블릿, CTV 박스, 디지털 프로젝터와 같은 소비자 전자 제품의 백도어를 이용하여 원격으로 사기 모듈을 배포합니다. 이러한 장치들은 여러 사이버 범죄 그룹이 운영하는 명령 및 제어 (C2) 서버에 연결됩니다.

감염은 타협된 공급 체인, 사전 설치된 악성 소프트웨어, 또는 제3자 앱 다운로드를 통해 확산되어, 공격자가 의심도 모르는 사용자의 장치를 통제할 수 있게 합니다.

한 번 감염되면 이러한 기기들은 사기 행위를 위해 사용되는 거대한 봇넷의 일부가 됩니다. 공격자들은 숨겨진 광고를 실행하고 참여를 모사하여 광고 사기를, 가짜 도메인으로 트래픽을 유도하여 클릭 사기를, 그리고 자동 브라우징을 통해 웹사이트의 트래픽을 부풀려내기 위해 이들을 사용합니다.

또한 봇넷은 사이버 범죄자들이 감염된 기기의 IP 주소에 대한 접근 권한을 판매하여 주거용 프록시 서비스를 제공하게 해줍니다. 이를 통해 계정 침해, 가짜 계정 생성, 인증 시스템 우회 등이 가능해집니다.

게다가, 해킹당한 장치들은 DDoS 공격, 악성 소프트웨어 배포, 일회용 패스워드(OTP) 도난에 이용되어, 공격자들이 사용자 계정을 탈취할 수 있게 합니다.

BADBOX 2.0을 구동하는 악성 소프트웨어는 숨겨진 광고와 자동화된 브라우징을 통해 사용자의 행동과 참여 지표를 조작하여, 부정 광고 수익을 창출하고 디지털 광고 생태계를 왜곡합니다.

인간 연구자들은 이 작전에 참여한 네 가지 주요 사이버범죄 그룹을 식별했습니다. SalesTracker 그룹은 BADBOX 인프라와 그 확장을 관리했으며, MoYu 그룹은 백도어를 개발하고, 봇넷을 운영하며, 클릭 사기 캠페인을 진행했습니다.

Lemon 그룹은 주거용 프록시 서비스와 부정한 온라인 게임 웹사이트와 연관되어 있었으며, LongTV는 은밀한 광고 사기를 촉진하기 위해 악의적인 CTV 애플리케이션을 개발했습니다.

HUMAN과 그들의 파트너들은 BADBOX 2.0의 핵심 부분을 방해하였으며, 이는 그들의 인프라를 모니터링하고 타겟팅된 행동을 취함으로써 실현되었습니다. Google은 BADBOX와 연관된 발행자 계정을 제거하고, Google Play Protect를 강화하여 설치 시 관련된 악성 소프트웨어를 차단하였습니다.

노출을 줄이기 위해, 사용자들은 자신의 기기가 Google Play Protect 인증을 받았는지 확인하고 인증되지 않은 Android 기기를 피하는 것이 좋습니다.