위장 안드로이드 기기에서 사전 설치된 Triada 악성코드 분석

Triada Malware Preloaded on Counterfeit Android Phones Infects 2,600+ Devices

 

• 개요
  • Triada 악성코드가 비공식 제조사의 안드로이드 스마트폰에 사전 설치되어 2,600건 이상의 감염 사례 발생
  • 감염은 2025년 3월 13일~27일 사이에 집중되었으며, 이후 전 세계 감염자는 4,500명 이상으로 증가
  • 해당 기기들은 대부분 Android Open Source Project(AOSP) 기반이며 Google Play Protect 미인증 기기
• 감염 기기 특성 및 유포 경로
  • 대상: 저가 비공식 스마트폰, 중국산 TV 박스, 디지털 프로젝터 등
  • 감염 경로: 공급망 단계에서 시스템 이미지 내 프레임워크에 삽입
    • 시스템 경로: /system/framework/boot-framework.oat
    • 로드 파일: binary.so → Zygote 프로세스를 통해 전체 앱에 로드
  • 감염된 기기들은 Google Play Store나 Google 서비스 없이 유통되며, 대체로 중소 브랜드 및 짝퉁 기기
• Triada 악성코드 기능
  • 정보 탈취
    • Telegram, WhatsApp, Instagram, Facebook, LINE, Skype, TikTok 등 인증 토큰, 쿠키, 메시지 수집
    • WebView를 통한 JavaScript 실행으로 계정 탈취 및 자동화 행동 수행
  • 암호화폐 탈취
    • 클립보드에 입력된 지갑 주소를 2초 단위로 감시 → 공격자 주소로 자동 치환
    • 거래 요청 화면에서 지갑 주소를 동적으로 변조
  • 백도어 및 프록시 기능
    • 기기를 역방향 프록시로 사용 가능
    • 브라우저 트래픽 감시 및 광고 링크 삽입
    • 전화 앱에서 전화번호 변조 수행
  • 자동화된 확산 및 은닉
    • WhatsApp/Telegram 메시지 자동 전송 및 삭제
    • SMS 수신 감시 → 프리미엄 서비스 가입 유도
    • 특정 조건 만족 시, 任意 APK 설치 및 삭제
  • 모듈화 아키텍처
    • 악성 행위 기능을 별도 모듈로 분리
    • 원격 서버 명령에 따라 추가 페이로드 다운로드 및 실행
• 유사 사례 및 위협 확장
  • 2018년 Avast는 ZTE, Archos 등의 공장 출하 기기에서 Cosiloon 광고웨어 사전 설치 사례 보고
  • Triada는 BADBOX 캠페인의 일환으로 다양한 기기에 삽입된 것으로 추정됨
  • Triada 외에도 Crocodilus, TsarBot, Salvador Stealer 등 다양한 Android 기반 금융 악성코드 활발
• Google의 공식 입장
  • 감염 기기들은 Google Play Protect 미인증 기기로, Play Protect 보안 검증 및 테스트를 거치지 않음
  • 정식 Android 인증 기기에서는 해당 위험이 차단되고 있음을 강조
• 공격자 수익
  • 감염 기기를 통한 공격으로 약 $270,000(약 3.6억 원) 규모의 암호화폐 수익 확인
  • 주요 거래 시점: 2024년 6월 13일~2025년 3월 27일
• 보안 권고
  • Play Protect 인증 기기 사용 권장
  • 중고/저가폰 구매 시 제조사 및 유통 경로 확인
  • 출처 불명 앱 또는 WhatsApp/Telegram MOD 버전 사용 금지
  • Android 설정에서 출처를 알 수 없는 앱 설치 차단
  • EDR/MDM 솔루션을 통한 기기 행위 분석 및 제어
  • 클립보드/브라우저 트래픽 이상 행위 탐지 필요
• 결론
  • Triada는 단순한 모바일 악성코드를 넘어선 공급망 기반 백도어 위협
  • 사용자는 반드시 신뢰할 수 있는 제조사 기기 및 앱만 사용해야 하며, 조직 차원에서도 비승인 기기 사용 통제가 필요함
  • 모바일 보안 위협은 단말 자체부터 발생할 수 있으므로, 기기 보급 및 BYOD 정책 수립 시 사전 검증 체계 마련 필수