RTO 테마의 소셜 엔지니어링을 활용한 다단계 안드로이드 악성코드 캠페인의 내부 구조

최근 몇 년 동안 인도에서는 안드로이드 악성코드 캠페인이 정부 서비스와 공식 디지털 플랫폼에 대한 신뢰를 악용하는 사례가 증가하고 있습니다. 공격자들은 유명 포털을 모방하고 메시징 애플리케이션을 통한 사회공학적 기법을 이용하여 사용자의 긴급성과 신원 확인 부족을 악용함으로써 대규모 금융 사기 및 개인정보 도용을 자행하고 있습니다.

Seqrite 연구소는 보안 연구를 진행하는 과정에서 인도 사용자를 대상으로 정부 기관, 특히 차량등록사무소(RTO)의 과태료 고지 및 공식 알림을 사칭하는 안드로이드 악성코드 캠페인을 발견했습니다. 이러한 악성 애플리케이션은 구글 플레이 스토어 외부에서 배포되며 주로 WhatsApp 및 유사 메시징 플랫폼을 통해 유포됩니다.

이 캠페인은 이전에 관찰된 RTO(원격 제어) 테마의 안드로이드 악성코드가 진화한 형태로, 향상된 분석 방지 기술, 모듈식 다단계 아키텍처, 그리고 데이터 수집 및 원격 작업을 위한 더욱 구조화된 백엔드 생태계를 통합하고 있습니다.

캠페인 개요

실제 환경에서 3단계 안드로이드 악성코드 유포 캠페인을 관찰했는데, 이 악성코드는 주로 인도 사용자를 대상으로 RTO 과태료 고지서 및 정부 관련 애플리케이션으로 위장했습니다. 구글 플레이 스토어 외부에서 배포되며, 데이터 유출 및 명령 및 제어(C2) 통신을 위해 클라우드 기반 백엔드 서비스를 이용합니다.

각 단계는 별도의 APK로 제공되며 순차적으로 설치되어 다음과 같은 목적을 가진 연쇄 실행 흐름을 형성합니다.

• 감염 성공률을 극대화하세요
• 장기적인 지속성을 유지하십시오
• 은밀한 수익 창출을 수행하세요
• 민감한 사용자 데이터를 수집합니다

이 모듈식 설계는 공격자가 전체 캠페인을 수정하지 않고도 개별 단계를 교체하거나 업데이트할 수 있도록 하여 작전 유연성과 회피 능력을 크게 향상시킵니다.

다단계 감염 사슬

관찰된 전체 실행 흐름은 다음과 같습니다.

각 단계는 공격자가 제어하는 ​​백엔드와 긴밀하게 통합된 상태를 유지하면서도 서로 다른 기능을 수행합니다.

1단계 – 드롭퍼 및 암호화폐 채굴기

기본 기능

• 2단계 및 3단계 탑재체 투하 장치 역할을 합니다.
• 기기가 잠겨 있을 때 암호화폐 채굴을 수행합니다.

1단계 애플리케이션은 암호 해독 및 후속 단계 설치를 통해 감염 사슬을 시작합니다(그림 3 참조). 동시에 기기 화면이 꺼졌을 때 활성화되는 암호화폐 채굴 모듈을 실행하여 사용자의 의심과 악성 활동의 시각적 표시를 최소화합니다(그림 4 참조).

이러한 동작은 이전에 보고된 안드로이드 크립토재킹 공격과 일관성이 있으며, 탐지를 피하기 위해 사용자가 활동하지 않을 때까지 채굴 작업을 연기하는 방식입니다. 이전 연구 결과를 참조하십시오. 안드로이드 크립토재커, 잠긴 기기에서 암호화폐 채굴 위해 뱅킹 앱으로 위장

2단계 애플리케이션 설치가 성공적으로 완료되면 1단계의 마이닝 활동이 종료되고 제어권이 다음 구성 요소로 넘어갑니다.

2단계 – 데이터 영속성 확보, 백엔드 초기화 및 데이터 마이닝

기본 기능

• 지속성 메커니즘을 구축합니다
• 백엔드 연결을 초기화합니다.
• 자체적인 암호화폐 채굴 활동을 시작합니다.

1단계에서 배포된 후, 2단계 애플리케이션은 여러 브로드캐스트 수신기를 등록하고, 실행 아이콘을 숨기고, 백그라운드에서 지속적으로 실행되도록 하여 장기적인 지속성을 보장합니다.

이 단계에서 악성 프로그램은 클라우드 기반 백엔드 인프라(여기서는 Google의 Firebase, 그림 5 참조)와의 연결을 초기화하며, 이는 나중에 다음과 같은 용도로 사용됩니다.

• 피해자 데이터 저장
• 원격 구성
• 명령 및 제어 통신

2단계에서는 독립적인 암호화폐 채굴 프로세스가 시작되어 제어 계층이자 수익 창출 요소 역할을 합니다. 이 단계는 효과적으로 다음과 같은 역할을 수행합니다. 초기 감염 로직과 최종 감시 페이로드 사이의 연결 고리.

3단계 – 데이터 절도 및 감시

기본 기능

• 가짜 정부 UI를 이용한 사회 공학
• 개인 식별 정보 및 금융 정보 수집
• 백엔드 기반 C2 통신
• SMS 전달, 알림 도용 및 통화 перенаправление

설치 후 3단계 애플리케이션은 공식 정부 포털을 모방한 사기성 사용자 인터페이스를 표시하며, RTO 브랜드와 로고까지 완벽하게 재현합니다. 이 앱은 사용자에게 신원 확인을 요청하거나 미납된 과태료를 납부하도록 유도합니다.

진행하려면 사용자는 SMS 접근, 통화 기록, 알림 수신, 저장소 접근 등 여러 고위험 권한을 부여해야 합니다.

이러한 권한이 부여되면 악성 프로그램은 데이터 수집을 시작합니다.

• 개인 식별 정보
• 은행 및 금융 관련 공지
• OTP 메시지 및 거래 알림
• 기기 메타데이터 및 시스템 정보

수집된 모든 데이터는 구조화된 JSON 형식으로 공격자가 제어하는 ​​백엔드로 전송되어 추가 처리를 위해 저장됩니다. 이러한 동작은 이전에 보고된 NextGen mParivahan 멀웨어 캠페인과 일치합니다. 이전 연구 보고서를 참조하십시오. 주의하세요! 가짜 'NextGen mParivahan' 악성코드가 다시 나타났습니다.

백엔드 인프라 접근 권한

다단계 악성코드를 분석한 결과, 공격자들이 사용한 백엔드 인프라에 접근할 수 있었습니다. 이를 통해 공격 캠페인의 운영 측면을 자세히 파악할 수 있었고, 악성코드 생태계의 실제 영향, 규모 및 역량을 평가할 수 있었습니다.

백엔드는 도난당한 데이터를 저장하는 것은 물론 감염된 기기를 실시간으로 제어하는 ​​데 적극적으로 사용되었습니다.

도난당한 데이터 유형

백엔드 인프라에는 다음과 같은 매우 민감하고 보안에 중요한 정보가 포함되어 있었습니다.

• 개인 식별 정보(PII): 성명, 전화번호, 생년월일, 어머니 성함, 아드하르 번호, PAN 번호
• 재무 및 자격 정보: UPI PIN, 신용카드 정보, 인터넷 뱅킹 사용자 이름 및 비밀번호
• 감시 데이터: 가로챈 SMS 메시지, 알림 내용, 기기 상태 정보

이는 해당 악성 소프트웨어가 단순한 피싱 공격에 그치지 않고, 본격적인 개인정보 도용 및 금융 사기 플랫폼으로 기능했음을 시사합니다.

그림 8은 위협 행위자들이 데이터를 저장하는 구조를 보여줍니다.

사용자 로그인 페이지에서 수집된 데이터는 아래 형식으로 저장됩니다.

사용자와 기기를 식별하기 위해 수집된 기기 정보 및 기타 세부 정보는 다음과 같은 형식으로 저장됩니다.

수집된 메시지는 아래 형식으로 저장됩니다.

명령 및 제어(C2) 백엔드

데이터 저장소 역할을 넘어, 백엔드 인프라는 적극적으로 활용되었습니다. 명령 및 제어(C2) 시스템.

관찰된 C2 기능

• 원격 구성 – SMS 전달 전화번호의 동적 구성
• 추적 및 모니터링 – SMS 착신 전환 상태, 통화 착신 전환 상태, 기기 활동

• 중앙 집중식 제어 – 감염된 기기의 실시간 모니터링, 악성코드 배포 현황

사실상 백엔드는 운영자를 위한 중앙 제어판 역할을 하여 다음과 같은 작업을 수행할 수 있도록 했습니다.

• 도난당한 피해자 데이터를 관리합니다.
• 캠페인 성과 모니터링
• 악성 프로그램의 동작을 원격으로 제어

이는 아마추어적인 일회성 공격이 아니라, 잘 조직되고 운영적으로 성숙한 위협 인프라가 존재함을 확인시켜 줍니다.

감염 규모 및 피해자 영향

백엔드 인프라에 저장된 기록을 기준으로 하면 대략 다음과 같습니다. 7,400 기기 감염되었습니다. 모든 피해자가 모든 권한을 부여하거나 요청된 모든 데이터를 제출한 것은 아니지만, 상당수가 SMS 접근을 허용하고 매우 민감한 개인 및 금융 정보를 제출했습니다.

이는 실제 사용자에 대한 대규모적이고 지속적이며 성공적인 침해를 보여주는 사례이며, 장기적인 재정적 및 개인정보 보호 문제를 야기할 수 있습니다.

이전 RTO 악성코드 캠페인에 비해 진화된 형태

이전에 보고된 RTO 및 mParivahan 멀웨어와 비교했을 때, 이번 캠페인은 운영 측면에서 상당한 개선을 보여줍니다.

이전 버전	현재 캠페인
단일 단계 APK	3단계 모듈형 아키텍처
하드코딩된 로직	동적 원격 구성
분석 방지 기법 없음 또는 그 이하	안티 분석 기법의 광범위한 사용
제한적인 데이터 도난	완벽한 감시 도구 키트
수익 창출 없음	이중 수익 창출 (사기 + 채굴)

이러한 발전은 위협 행위자들이 전술을 적극적으로 다듬고, 성공적인 구성 요소를 재사용하는 동시에 백엔드 운영 및 지속성 메커니즘을 지속적으로 개선하고 있음을 나타냅니다.

잠재적 학대 시나리오

관찰된 기능에 따르면, 해당 악성 소프트웨어는 다음과 같은 여러 가지 고위험 악용 시나리오를 가능하게 합니다.

• 금융 사기 방지를 위한 실시간 OTP 가로채기
• 자격 증명 탈취를 통한 은행 계좌 탈취
• 도난당한 개인정보를 이용한 SIM 카드 교체 알선
• 아드하르(Aadhaar) 및 PAN 정보를 이용한 대출 및 신용 사기
• WhatsApp 및 소셜 미디어 계정 탈취

MITRE ATT&CK 전술 및 기술:

안드로이드 악성코드 신속 탐지 및 치료:

Quick Heal은 Android.Dropper.A 변종을 사용하는 이러한 악성 애플리케이션을 탐지합니다.

모든 모바일 사용자는 이러한 위협을 완화하고 보안을 유지하기 위해 "Quick Heal Mobile Security for Android"와 같은 신뢰할 수 있는 바이러스 백신 프로그램을 설치하는 것이 좋습니다. 당사의 바이러스 백신 소프트웨어는 사용자가 모바일 기기에 악성 애플리케이션을 다운로드하는 것을 차단합니다. Android 보안 프로그램을 다운로드하세요. 여기에서 확인하세요.

맺음말

이번 캠페인은 소셜 엔지니어링, 모듈형 아키텍처, 클라우드 기반 명령 인프라, 실시간 금융 감시 기능을 결합한 인도 안드로이드 악성코드 공격의 심각한 수위 상승을 보여줍니다. 3단계 공격 설계와 암호화폐 채굴, 중앙 집중식 제어는 기회주의적 공격보다는 장기적인 악용에 초점을 맞춘 고도로 조직화된 위협 집단의 소행임을 시사합니다.

디지털 보안을 유지하기 위한 팁:

• 다음과 같은 신뢰할 수 있는 출처에서만 애플리케이션을 다운로드하세요. 구글 Play 스토어.
• 메시지나 다른 소셜 미디어 플랫폼을 통해 받은 링크는 의도적이든 무심코든 악성 사이트로 연결될 수 있으므로 클릭하지 마세요.
• 새로운 권한을 수락하거나 허용하기 전에 Android 시스템의 팝업 메시지를 읽어보세요.
• 악성 소프트웨어 제작자는 원래 애플리케이션의 이름, 아이콘, 개발자 세부 정보를 쉽게 위조할 수 있으므로 휴대폰에 어떤 애플리케이션을 다운로드할지 매우 신중해야 합니다.
• 향상된 휴대전화 보호를 위해 항상 다음과 같은 우수한 바이러스 백신을 사용하세요. Android용 Quick Heal 모바일 보안.

기다리지 마세요! 오늘 Quick Heal Total Security for Mobiles & Smartphones로 스마트폰을 안전하게 보호하세요. 오늘 구매하거나 갱신하세요!