드로이드봇 맬웨어, 유럽 전역의 은행 및 국가 기관을 목표로 삼다

Cleafy의 보안 분석가들은 DroidBot이라는 복잡한 안드로이드 원격 접속 트로이(RAT)를 발견했습니다. 이는 터키에서 시작된 맬웨어-서비스(MaaS) 작업의 일부로 확인되었습니다.

처음으로 2024년 6월에 추적되어 10월에는 활발하게 관찰되었던 DroidBot은 고급 기능을 보여주며, 특히 유럽에서 그 지리적 영향력이 증가하고 있습니다.

DroidBot은 숨겨진 화면 접근과 가짜 로그인 화면 같은 방법을 결합하여 개인 데이터를 도용하는 스파이웨어 유형입니다. 이는 스마트 기기를 위해 설계된 방법을 통해 도난당한 데이터를 전송하고, 안전한 웹사이트를 통해 명령을 수신하여, 감지하기 어렵게 만듭니다.

이 스파이웨어의 주요 수법 중에는 비밀번호를 찾아내기 위해 당신이 타이핑하는 내용을 기록하는 것, 정보를 도용하기 위해 가짜 로그인 화면을 만드는 것, 당신의 활동을 감시하기 위해 핸드폰 화면 스크린샷을 찍는 것, 심지어는 당신의 행동을 모방하기 위해 당신의 핸드폰을 원격으로 제어하는 것 등이 있습니다.

Android의 접근성 서비스를 활용하는데, 사용자들은 종종 설치 과정에서 이를 무심코 허용해버립니다. 보안 도구나 은행 앱처럼 무해한 앱으로 위장한 DroidBot은 사람들을 속여서 자신을 다운로드 받게 만듭니다.

DroidBot은 은행, 암호화폐 거래소, 국가 기관을 포함한 77개의 조직을 대상으로 합니다. 영국, 프랑스, 스페인, 이탈리아, 포르투갈에서의 활동이 관찰되었고, 라틴 아메리카로의 확장 가능성이 있는 것으로 나타났습니다.

맬웨어의 코드와 인프라에서 언어 선호도를 보면 터키어를 사용하는 개발자들이 작성한 것으로 추정됩니다.

지속적인 개발이 진행 중임이 분명하며, 루트 검사, 난독화 수준, 샘플 간의 압축 해제 과정에 일관성이 없습니다. 이러한 변동성은 맬웨어를 개선하고 다양한 환경에 적응시키려는 노력을 나타냅니다.

DroidBot은 MaaS 프레임워크 내에서 작동하며, 제휴사는 그 인프라에 접근하기 위해 비용을 지불합니다. Cleafy는 같은 MQTT 서버를 사용하는 17개의 제휴 그룹을 확인했는데, 이는 맬웨어의 능력을 공유하거나 시연하는 것을 나타냅니다.

러시아어로 대화하는 해킹 포럼에 광고되어 있는 이 서비스에는 금융 사기용으로 자동 이체 시스템(ATS) 같은 고급 기능들이 포함되어 있고, 제휴사들은 매달 $3,000를 지불합니다.

DroidBot의 정교함은 암호화 루틴과 MQTT 기반 통신을 통해 지원되며, 이는 그것을 중요한 사이버 위협으로 위치시킵니다. 그것의 MaaS 모델, 지속적인 개발, 그리고 2단계 인증을 우회하는 능력은 금융 기관과 정부에게 우려를 제기합니다.

DroidBot이 계속 발전함에 따라, 보안 전문가들은 영향을 받는 지역의 조직들에게 경계와 강화된 보호 조치를 강조하고 있습니다.