BADBOX 2.0 Botnet Infects 1 Million Android Devices for Ad Fraud and Proxy Abuse
- 개요
- BADBOX 2.0은 저가형 안드로이드 디바이스에 백도어를 삽입해 원격 제어 및 악성 기능을 수행하는 대규모 봇넷 캠페인
- HUMAN Satori, Google, 트렌드마이크로, Shadowserver 등이 공동 분석
- 광고 사기, 주거용 프록시, 계정 탈취 등 다양한 악성 행위에 활용됨
- 감염 기기는 주로 중국 본토 제조 디바이스로, 전 세계로 유통됨
- 주요 감염 기기 및 감염 규모
- 감염 대상: 저가형 안드로이드 태블릿, 커넥티드 TV(CTV) 셋톱박스, 디지털 프로젝터, 차량 인포테인먼트 시스템
- 감염 수: 최소 100만 대 이상
- 국가별 분포: 브라질(37.6%), 미국(18.2%), 멕시코(6.3%), 아르헨티나(5.3%) 등
- 백도어 동작 원리
- Triada 기반 안드로이드 악성코드 BB2DOOR를 핵심 백도어로 사용
- 설치 경로
- 기기 출고 시 선탑재
- 부팅 시 원격 서버로부터 다운로드
- 제3자 앱스토어에서 유포된 200개 이상의 트로이목마 앱을 통해 감염
- 기능
- C2 명령에 따라 악성 모듈 로딩
- 사용자 몰래 광고 클릭, 웹뷰 실행, 클릭 사기
- 프록시 기능 제공, 사용자 네트워크를 ATO 및 DDoS에 악용
- 참여 위협 그룹 및 역할
- MoYu Group: 백도어 개발 및 주거용 프록시 서비스 운영
- SalesTracker Group: 디바이스 모니터링 모듈 담당, 초기 BADBOX와 연계
- Lemon Group: BADBOX 기반 프록시 서비스 운영, HTML5 게임 기반 광고 사기 수행
- LongTV: 말레이시아 기반, Evil Twin 기법으로 24개 앱을 통한 광고 사기 수행
- 그룹 간 C2 인프라 공유 및 조직적 연계 기반의 협력 운영
- 악성 활동 사례
- 광고 사기
- 숨겨진 광고 자동 실행 및 클릭
- 저품질 도메인 자동 탐색
- 주거용 프록시 서비스 제공
- 계정 탈취(ATO), 악성코드 유포, DDoS 등 악용
- 진화된 변종은 정상 Android 라이브러리 조작을 통해 영속성 확보
- 광고 사기
- 방어 및 대응 상황
- Google: Play 스토어에서 악성 앱 24종 제거
- 독일 정부: 2024년 12월 일부 인프라 차단
- 일부 C2 도메인 sinkhole 처리로 통신 차단 시도
- Play Protect 인증 기기는 감염되지 않았으며, AOSP 기반 비공식 기기만 감염 대상
- 유사 위협 연계성
- BB2DOOR는 Vo1d 악성코드와 일부 코드 오버랩 존재
- 타깃: Android 기반 비공식 TV 박스 등 변형 기기
- 결론
- BADBOX 2.0은 공급망 침해 기반 대규모 봇넷 운영의 전형적 사례
- 광고 사기, 프록시 악용, 계정 탈취 등 다중 수익화 목적의 조직화된 사이버 범죄
- 디바이스 공급망 보안, Play Protect 인증 강화, 비공식 앱스토어 사용 제한이 중요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| DLL 사이드로딩을 통한 악성 Python 코드 실행 공격 분석 (0) | 2025.05.01 |
|---|---|
| Microsoft 365 인프라를 악용한 정교한 피싱 공격 분석 (0) | 2025.05.01 |
| StilachiRAT, 자격 증명 및 암호화 지갑 탈취 노린 고도화된 원격제어 악성코드 분석 (0) | 2025.05.01 |
| 개인정보위, 전 분야 마이데이터 제도 전면 시행, 의료·통신 정보 내 손안에 (1) | 2025.04.22 |
| 클라우드플레어, ZTNA 전역에 양자내성암호(PQC) 적용, 2025년 중반까지 전 프로토콜 확대 (0) | 2025.04.22 |