BadBox 2.0 악성코드, 100만 대 이상 안드로이드 기기 감염…Google Play 통해 유포

BadBox Malware Infects 50,000+ Android Devices via 24 Apps on Google Play

BadBox Malware Infects 50,000+ Android Devices via 24 Apps on Google Play

 

Android botnet BadBox largely disrupted

Android botnet BadBox largely disrupted

 

• BadBox 2.0 개요
  • Satori 위협 인텔리전스 팀이 탐지한 BadBox 2.0은 진화된 안드로이드 기반 봇넷 캠페인
  • 전 세계적으로 100만 대 이상의 소비자 기기에 악성코드를 배포
  • Google Play에 등록된 24개의 악성 앱을 통해 확산되었으며, 일부 저가형 AOSP(Android Open Source Project) 기반 기기에는 사전 설치됨
• 핵심 악성 모듈: BB2DOOR
  • BB2DOOR는 감염된 기기에 지속적이고 고권한 접근을 제공하는 백도어
  • 사전 설치 앱 및 서드파티 마켓을 통해 유포
  • 감염된 기기를 프록시 서버로 변조하거나, 추가 악성코드 유포 및 클릭 사기 수행
• 위협 행위자 그룹
  • 총 4개의 협력 그룹 활동 확인: SalesTracker, MoYu, Lemon, LongTV
  • 공통 인프라와 공격 기법을 공유하여 효율적인 봇넷 운영 수행
  • 주요 사기 수법
    • 프록시 서비스: 감염 기기를 이용해 실제 공격자의 IP 은폐
    • 광고 사기: 숨겨진 WebView를 통해 HTML5 게임 페이지를 방문하고 광고 노출 및 클릭 발생
    • 클릭 사기: 저품질 도메인을 대상으로 광고 클릭 유도
• 감염 경로 및 악성 행위
  • 불법 스트리밍 사이트에 악성 광고를 삽입, 리디렉션을 통해 GitHub 저장소로 유도
  • 초기 정보 수집 후 맞춤형 악성코드 배포 (예: NetSupport RAT, Lumma Stealer, Doenerium InfoStealer)
  • 감염 지속을 위해 레지스트리 변경, 예약 작업 등록 등 악성코드 은닉
• 확산 기기 유형
  • 감염 대상은 Android TV OS 기기가 아닌 AOSP 기반 태블릿, TV 박스, 디지털 프로젝터 등
  • 독립 브랜드 없는 저가형 기기 다수 포함, 사전 설치된 펌웨어 백도어 존재 확인
• 방어 조치 및 대응 현황
  • Google은 Play Protect 및 관련 계정 차단을 통해 대응
  • 독일 BSI는 3만 대 기기의 악성코드 차단 및 C2 서버 싱크홀 처리 진행
  • 공격자 인프라 일부 무력화됐으나 공급망 수준에서의 백도어 존재로 인해 재확산 우려 지속
• 보안 권고
  • 'Earn Extra Income', 'Pregnancy Ovulation Calculator' 등 Seekiny Studio 앱 발견 시 즉시 삭제 권고
  • Google Play Protect 인증 기기 사용 및 앱 설치 시 출처 확인 필수
  • 서드파티 마켓이나 저가형 브랜드 없는 기기의 구매 자제 필요
  • 모바일 보안 솔루션을 통한 악성코드 탐지 및 차단 필요
• 결론
  • BadBox 2.0은 단순 앱 기반 악성코드가 아닌, 사전 설치 및 공급망 조작까지 포함된 고도화된 위협
  • 위협 행위자들의 협업과 인프라 공유는 향후 더 광범위한 공격으로 이어질 가능성 있음
  • 사용자, 기업, 플랫폼 제공자 간의 협력 기반 위협 인텔리전스 공유가 중요
  • 정부 및 보안 기관의 공급망 보안 점검 및 정책적 대응 강화 필요