사이버 보안 · 2 min read · Sep 20, 2025

BADBOX 2.0, FBI 경고: 백만 대 이상의 안드로이드 기기 감염

연방수사국(FBI)은 목요일 BADBOX 2.0에 대한 새로운 경고를 발표했습니다. 이 위험한 안드로이드 악성코드 캠페인은 전 세계 가정의 인터넷에 연결된 백만 대 이상의 기기를 조용히 감염시켰습니다. 이 악성코드는 매일 사용되는 저예산의 인증되지 않은 소비자 전자제품을 사이버 범죄자들의 도구로 변모시키고 있습니다.

BADBOX 2.0이란?

BADBOX 2.0은 2023년에 발견된 원래 BADBOX 악성코드의 최신 버전입니다. 주로 중국에서 제조된 안드로이드 기반 기기에서 발견되며, 여기에는 디지털 스트리밍 박스, 브랜드 없는 스마트 TV, 애프터마켓 차량 인포테인먼트 시스템, 디지털 사진 프레임, 저예산 태블릿 및 프로젝터, 기타 사물인터넷(IoT) 기기가 포함됩니다.

이러한 기기는 종종 악성코드가 사전 설치되어 있거나, 숨겨진 백도어가 포함된 앱을 다운로드한 직후 감염됩니다.

“BADBOX 2.0 봇넷은 수백만 대의 감염된 기기로 구성되어 있으며, 사이버 범죄자들이 다양한 범죄 활동에 사용하기 위해 손상된 가정 네트워크에 대한 접근을 판매하거나 무료로 제공하는 여러 백도어를 유지합니다.”라고 FBI는 경고합니다.

“사이버 범죄자들은 사용자가 구매하기 전에 악성 소프트웨어로 제품을 구성하거나, 설정 과정 중에 백도어가 포함된 필수 애플리케이션을 다운로드할 때 기기를 감염시켜 가정 네트워크에 무단으로 접근합니다.”라고 FBI는 덧붙였습니다.

“이렇게 손상된 IoT 기기가 가정 네트워크에 연결되면, 감염된 기기는 BADBOX 2.0 봇넷의 일부가 되고 악성 활동에 사용되는 주거용 프록시 서비스에 취약해집니다.”

FBI에 따르면, 기기가 감염되면 공격자의 명령 및 제어(C2) 서버와 연결되어 악성 작업을 위한 지시를 실행합니다. 예를 들어, 이 악성코드는 해커 트래픽을 피해자의 가정 네트워크를 통해 라우팅하여 사이버 공격을 숨기고, 배경에서 광고를 클릭하여 가짜 수익을 생성하며, 도난당한 자격 증명(사용자 이름 및 비밀번호 등)을 사용하여 계정에 침입하면서 주거용 IP 뒤에 숨습니다.

어떻게 이렇게 널리 퍼졌나?

처음에는 T95와 같은 저렴한 브랜드 없는 안드로이드 TV 박스에 사전 설치되어 발견된 BADBOX는 빠르게 전 세계로 퍼졌습니다. 독일의 사이버 보안 기관이 2024년에 원래 버전을 잠시 중단했지만, 그 후 재발했습니다.

제거 작업이 끝난 지 일주일 만에 연구자들은 192,000개의 새로운 감염을 발견했습니다. 이번에는 불명확한 기기뿐만 아니라 Yandex TV 및 Hisense 스마트폰과 같은 주류 브랜드에도 영향을 미쳤습니다.

2025년 3월, 보안 회사 HUMAN의 Satori Threat Intelligence는 BADBOX 2.0이 222개국에서 백만 대 이상의 기기를 감염시켰다고 보고했습니다. 가장 큰 피해를 입은 지역은 브라질(37.6%), 미국(18.2%), 멕시코(6.3%), 아르헨티나(5.3%)입니다.

“이 계획은 100만 대 이상의 소비자 기기에 영향을 미쳤습니다. BADBOX 2.0 작전에 연결된 기기에는 저가의 ‘비브랜드’ 인증되지 않은 태블릿, 연결된 TV(CTV) 박스, 디지털 프로젝터 등이 포함됩니다.”라고 HUMAN Security는 설명합니다.

“감염된 기기는 안드로이드 오픈 소스 프로젝트 기기이며, 안드로이드 TV OS 기기나 Play Protect 인증 안드로이드 기기가 아닙니다. 이러한 모든 기기는 중국 본토에서 제조되어 전 세계로 배송됩니다. 실제로 HUMAN은 전 세계 222개국 및 지역에서 BADBOX 2.0 관련 트래픽을 관찰했습니다.”

BADBOX에 감염된 기기의 지표는 다음과 같습니다:

  • 의심스러운 제3자 앱 스토어
  • 비활성화된 Google Play Protect
  • 이상하거나 과도한 데이터 트래픽
  • 무료 또는 프리미엄 콘텐츠를 약속하는 미지의 브랜드의 기기

FBI와 파트너들이 개입하다

BADBOX 2.0에 대응하기 위해 HUMAN, Google, Trend Micro, The Shadowserver Foundation 등 여러 기관이 참여한 공동 작전이 최근 500,000개 이상의 손상된 기기와 공격자의 서버 간의 통신을 차단하는 데 성공했습니다. 이를 방해하기 위한 노력에도 불구하고, 사람들은 무의식적으로 손상된 제품을 가정 네트워크에 연결하면서 봇넷은 계속 성장하고 있습니다.

완화 조치

FBI는 무단 주거용 프록시 네트워크에 대한 노출을 최소화하기 위해 소비자에게 다음과 같은 예방 조치를 취할 것을 권장합니다:

  • 연결된 기기를 정기적으로 점검하여 이상 행동을 확인합니다.
  • 무료 스트리밍 콘텐츠를 광고하는 비공식 마켓플레이스에서 앱 설치를 피합니다.
  • 가정의 네트워크 트래픽에서 불규칙성이나 의심스러운 활동을 모니터링합니다.
  • 감염된 것으로 생각되는 기기의 인터넷 접근을 차단합니다.
  • 기기가 공식 펌웨어 및 보안 패치로 정기적으로 업데이트되도록 합니다.
Share: X/Twitter LinkedIn
#사이버 보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.