안드로이드 악성코드, 러시아 기업을 염탐하기 위해 안티바이러스인 척 위장

새로 발견된 안드로이드 스파이웨어 캠페인이 러시아 비즈니스 임원들을 목표로 하고 있으며, 러시아 정보 기관과 연관된 것으로 보이는 안티바이러스 앱으로 위장하고 있다고 러시아 사이버 보안 회사 Doctor Web이 전했습니다.

이 악성코드는 Android.Backdoor.916.origin으로 추적되며, 2025년 1월부터 활동을 시작했으며 여러 버전을 거쳐 발전해왔습니다. 가장 큰 위협은 공식적인 보안 앱의 가면 뒤에 숨어 있다는 점으로, 러시아 당국에서 온 것처럼 보이며 러시아 비즈니스 임원들과 직원들을 표적 공격으로 유인합니다.

연구자들은 이 백도어가 카메라를 통해 비디오를 비밀리에 녹화하고, 키 입력을 기록하며, 위치를 추적하고, 파일을 훔치고, Telegram 및 WhatsApp과 같은 인기 앱과 Gmail, Chrome, Yandex와 같은 브라우저에서 데이터를 끌어올 수 있다고 말합니다.

“공식” 보안 도구로 위장

악성 앱은 채팅 앱의 직접 메시지를 통해 배포되며, 피해자들은 메신저 앱에서 다운로드 링크를 받아 “GuardCB”라는 가짜 안티바이러스를 설치하게 됩니다. 이 가짜 안티바이러스는 러시아 연방 중앙은행의 엠블럼을 닮은 아이콘을 특징으로 하여 신뢰성을 더합니다.

다른 변종은 “SECURITY_FSB” 또는 단순히 “FSB”와 같은 이름을 사용하여 러시아 연방 보안 서비스와의 연관성을 암시합니다. 인터페이스는 러시아어로만 제공되어 이 캠페인의 고도로 표적화된 성격을 강조합니다.

“동시에, 인터페이스는 오직 하나의 언어인 러시아어만 제공합니다. 즉, 이 악성 프로그램은 전적으로 러시아 사용자에게 초점을 맞추고 있습니다.”라고 Doctor Web 연구자들이 블로그 게시물에서 썼습니다.

“이는 ‘SECURITY_FSB’, ‘FSB’와 같은 파일 이름을 가진 다른 탐지된 변형에 의해 확인되며, 사이버 범죄자들이 러시아 법 집행 기관과 관련된 보안 프로그램으로 가장하려고 하고 있습니다.”

작동 방식

가짜 안티바이러스는 제거를 피하기 위해 진짜 보안 소프트웨어 도구를 모방하여 시뮬레이션된 스캔을 실행합니다. 약 30%의 경우, 존재하지 않는 위협을 1에서 3까지 무작위로 표시하여 잘못된 긍정 결과를 보여줍니다.

설치되면, 이 앱은 마이크, 카메라, SMS, 연락처, 미디어 파일, 통화 기록, 지리 위치 및 안드로이드 접근성 서비스에 대한 광범위한 권한을 요청합니다.

그런 다음 가짜 안티바이러스 “스캔”을 시뮬레이션하여 사용자에게 합법적임을 확신시키기 위해 1에서 3개의 “위협”을 무작위로 보고합니다. 그러나 백그라운드에서는 조용히 명령 및 제어(C2) 서버에 연결하여 공격자가 다음을 수행할 수 있게 합니다:

• 마이크에서 실시간 오디오 스트리밍
• 실시간으로 비디오 또는 장치 화면 방송
• 연락처, SMS, 통화 기록 및 저장된 사진 훔치기
• 입력된 비밀번호 및 개인 채팅 가로채기
• 원격 명령 실행

Doctor Web은 이 악성코드가 매우 표적화되어 있으며, 러시아 사용자만을 위해 특별히 설계되었으며 대량 감염을 목표로 하지 않는다고 언급합니다. 이 악성코드는 15개의 서로 다른 호스팅 제공업체를 통해 회전할 수 있는 인프라를 갖추고 있어, 제작자들이 지속성과 방해 저항성을 위해 설계했음을 나타냅니다.

예방 조치

현재 안드로이드 사용자들은 Google Play 스토어와 같은 신뢰할 수 있는 출처에서만 앱을 다운로드하고, 앱이 요청하는 권한에 주의하며, 정부 보안 도구라고 주장하는 앱에 대해 의심을 가져야 합니다.

한편, Doctor Web은 자사의 안티바이러스 소프트웨어가 모든 알려진 버전의 스파이웨어를 탐지하고 제거한다고 말합니다. 회사가 공유한 보고서에는 Android.Backdoor.916.origin과 관련된 침해 지표(IoCs)도 포함되어 있으며, 이는 GitHub 저장소에 게시되었습니다.