악성코드 · 2 min read · Jan 18, 2026

MysteryBot: 새로운 안드로이드 악성코드, 키로거, 랜섬웨어 및 뱅킹 트로이 목마 융합

MysteryBot 안드로이드 악성코드는 뱅킹 앱을 겨냥합니다

ThreatFabric의 보안 연구원들은 아직 개발 중인 실험적인 형태의 안드로이드 악성코드를 발견했습니다. 연구원들에 따르면, 새로운 악성코드는 안드로이드 7.0 또는 8.0에서 실행되는 뱅킹 트로이 목마, 키로거 및 랜섬웨어의 기능을 혼합합니다.

MysteryBot이라는 이름이 붙은 이 악성코드는 지난해 큰 혼란을 일으킨 악명 높은 LokiBot과 놀라운 유사성을 보이지만 새로운 교묘한 기능을 가지고 있습니다. 이는 같은 악성코드 개발자가 개발했을 가능성이 높다는 것을 의미합니다. 처음에는 LokiBot의 수정된 버전으로 생각되었지만, 연구원들은 이 악성코드에 훨씬 더 많은 기능이 저장되어 있음을 발견했습니다.

“네트워크 활동을 조사하는 동안 MysteryBot과 LokiBot 안드로이드 뱅커가 모두 동일한 C&C [명령 및 제어] 서버에서 실행되고 있다는 것을 알게 되었습니다. 이는 우리가 새로 발견된 악성코드가 LokiBot의 업데이트이거나 같은 행위자에 의해 개발된 또 다른 뱅킹 트로이 목마라는 초기 결론에 빠르게 도달하게 했습니다.”라고 ThreatFabric은 블로그 게시물에서 밝혔습니다.

MysteryBot은 영향을 받은 장치를 완전히 제어할 수 있는 뛰어난 능력을 보여줍니다. 전화 통화를 하거나, 연락처 정보를 훔치거나, 문자 메시지를 복사하거나, 수신 전화를 다른 장치로 전달하거나, 키로거로 작동하는 등 다양한 악의적인 활동을 수행할 수 있습니다. 또한 외부 저장소의 모든 장치 파일을 암호화하고 장치의 모든 연락처 정보를 삭제할 수 있습니다.

이 악성코드는 안드로이드용 Adobe Flash Player 앱으로 위장하여 장치에 침투합니다. “일반적으로 소비자는 다양한 앱 스토어 안팎에서 발견되는 이른바 ‘Flash Player (업데이트) 앱’이 모두 악성코드라는 것을 인식해야 합니다.”라고 ThreatFabric은 Bleeping Computer에 말했습니다.

“여전히 많은 웹사이트가 방문자가 Flash를 지원해야 한다고 요구하고 있으며 (이는 수년간 안드로이드에서 사용할 수 없었습니다), 이로 인해 안드로이드 사용자들은 해당 웹사이트를 사용할 수 있는 앱을 찾으려고 합니다.”라고 대변인은 덧붙였습니다. “결국 그들은 악성코드를 설치하게 될 것입니다.”

더 설명하자면, 연구원들은 “새로운 기술이 고안되어 현재 사용되고 있으며, 이는 안드로이드 PACKAGE_USAGE_STATS 권한(일반적으로 사용 접근 권한이라고 불림)을 악용합니다. MysteryBot의 코드는 이른바 PACKAGE_USAGE_STATS 기술과 통합되었습니다. 이 안드로이드 권한을 악용하려면 피해자가 사용 권한을 제공해야 하므로, MysteryBot은 인기 있는 AccessibilityService를 사용하여 트로이 목마가 피해자의 동의 없이 필요한 권한을 활성화하고 악용할 수 있도록 합니다.”라고 말했습니다.

MysteryBot 악성코드의 주요 목표는 뱅킹 앱을 겨냥하는 것으로 알려져 있지만, 이 악성코드는 그 이상을 수행할 수 있습니다. MysteryBot은 피해자의 지식이나 동의 없이 법적 위장 아래 모바일 뱅킹 활동을 수행할 수 있어 금융 기관이 악의적인 활동을 식별하기 어렵게 만듭니다.

현재 MysteryBot은 유통되지 않고 있지만, LokiBot은 이전에 SMS 스팸(스미싱) 및 링크가 포함된 이메일(피싱)을 통해 퍼졌다고 ThreatFabric은 Bleeping Computer에 말했습니다.

사용자에게는 장치를 안전하게 유지하기 위해 Google Play 스토어에서만 안드로이드 앱을 설치하고 다른 출처에서는 설치하지 말 것을 권장합니다. 또한 Play 스토어에서 다운로드하고 있는 앱이 무엇인지 아는 것이 중요합니다.

“Google Play 스토어에는 여전히 많은 드로퍼가 존재하며, 이는 효율적인 배포 수단인 것으로 보입니다.”라고 ThreatFabric은 말했습니다. “그러나 대부분의 안드로이드 뱅킹 트로이 목마는 스미싱/피싱 및 사이드 로딩을 통해 배포되는 것으로 보입니다.”

출처: Bleeping Computer

Share: X/Twitter LinkedIn
#악성코드

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.