안드로이드 악성코드 드로퍼가 은행 트로이 목마를 넘어 진화하고 있습니다

사이버 보안 연구자들은 안드로이드 악성코드 세계에서 우려스러운 변화를 발견했습니다. 드로퍼 — 작고, 겉보기에는 해가 없어 보이는 앱들이 비밀리에 악성 소프트웨어를 가져오고 설치하는 — 는 더 이상 강력한 은행 트로이 목마를 전달하는 데 국한되지 않습니다. 이제 이들은 SMS 도둑 및 스파이웨어와 같은 훨씬 간단한 위협을 퍼뜨리는 데 재사용되고 있으며, 특히 아시아 전역에서 그렇습니다.

수년 동안 드로퍼는 은행 트로이 목마나 원격 액세스 도구와 같이 깊은 시스템 접근이 필요한 복잡한 악성코드의 “배달원” 역할을 했습니다. 그러나 네덜란드 보안 회사 ThreatFabric의 새로운 보고서에 따르면, 사이버 범죄자들은 같은 기술을 사용하여 은밀한 앱 내에서 훨씬 간단한 악성코드를 퍼뜨리도록 적응하고 있으며, 드로퍼를 구글의 최신 방어를 우회하는 다목적 도구로 변모시키고 있습니다.

드로퍼가 더 흔해지는 이유

ThreatFabric의 연구자들은 이 변화가 최근 인도, 브라질, 태국, 싱가포르와 같은 고위험 지역에서 시행된 구글의 새로운 Play Protect 파일럿 프로그램과 관련이 있다고 언급했습니다.

이 프로그램은 설치 전에 앱을 스캔하며 — 특히 Play 스토어 외부에서 다운로드된 앱에 대해 — SMS 읽기, 알림 접근 또는 접근성 기능 제어와 같은 민감한 권한을 요청하는 앱을 차단합니다. 앱이 의심스러워 보이면 실행되기 전에 차단됩니다.

이 조치는 악성 앱이 휴대폰에 들어오는 것을 더 어렵게 만들었습니다. 그러나 공격자들은 허점을 발견했습니다. 악성 코드를 직접 전송하는 대신, 처음에는 해가 없어 보이는 드로퍼 안에 숨깁니다. 이러한 앱은 최소한의 권한을 요청하고, 가짜 “업데이트” 프롬프트를 표시하며, 구글의 초기 스캔을 문제없이 통과합니다. 사용자가 업데이트를 탭한 후에야 실제 악성코드가 백그라운드에서 설치되며, 필요한 강력한 권한을 요청합니다.

“기본 페이로드조차 드로퍼 안에 캡슐화함으로써, 오늘날의 검사를 피할 수 있는 보호 셸을 얻으면서 내일 페이로드를 교체하고 캠페인을 전환할 수 있는 유연성을 유지합니다.”라고 ThreatFabric은 지난주 블로그 게시물에서 작성했습니다.

RewardDropMiner 및 기타 위협

ThreatFabric의 연구자들은 RewardDropMiner라는 사례를 강조했습니다. 이 앱은 원래 스파이웨어를 전달하면서 백그라운드에서 암호화폐를 조용히 채굴하도록 설계되었습니다. 그러나 최신 버전에서는 채굴 기능이 제거되어 드로퍼 기능만 남았습니다. 이러한 간소화된 접근 방식은 악성코드를 탐지하기 어렵게 만들면서도 공격자들이 스파이웨어나 기타 악성 앱을 비밀리에 전달할 수 있도록 합니다.

RewardDropMiner와 관련된 가짜 앱이 PM Yojana 2025, SBI Online, Axis Card 및 정부 관련 유틸리티와 같은 인기 있는 인도 서비스로 가장하고 있는 것이 발견되었습니다.

SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper 및 TiramisuDropper와 같은 다른 드로퍼 계열도 활동 중이며, 유사한 속임수를 사용하여 구글의 보안 검사를 피하고 가짜 웹사이트나 메시징 앱을 통해 은행 악성코드나 스파이웨어를 퍼뜨리고 있습니다.

고양이와 쥐의 게임은 계속된다

구글은 이러한 앱이 Play 스토어를 통해 배포되지 않았으며 Play Protect가 알려진 위협을 계속 차단하고 있다고 말하지만, 전문가들은 드로퍼가 보편적인 악성코드 설치기로 진화하고 있다고 경고합니다.

“드로퍼는 고급 은행 악성코드를 위한 틈새 도구에서 거의 모든 유형의 악성 앱을 위한 보편적인 설치기로 진화했습니다. 이는 기본적으로 지역 방어를 통과해야 하는 큰 또는 작은 악성 앱입니다.”라고 ThreatFabric은 덧붙였습니다.

사용자가 할 수 있는 일

이 변화는 보안 방어자와 사이버 범죄자 간의 지속적인 무기 경쟁을 강조합니다. 구글과 더 넓은 보안 커뮤니티에게는 공격자들이 전술을 다듬어 가면서 탐지 방법을 계속 발전시킬 필요성을 알립니다.

일반 안드로이드 사용자에게는 신뢰할 수 있는 출처에서만 앱을 설치하고, 비정상적인 권한을 요구하는 앱에 주의하며, 의심스러운 프롬프트, 특히 가짜 “업데이트”에 경계를 유지하고, 제3자 웹사이트에서 앱을 사이드로드하기 전에 두 번 생각하라는 것을 상기시킵니다.