안드로이드 기기의 악성코드, Badbox 봇넷의 귀환
최근 사이버 보안 업계에 큰 충격을 준 사건이 발생했습니다. 바로 Badbox 봇넷이 다시 돌아왔다는 소식입니다. 이 봇넷은 최대 백만 대에 달하는 안드로이드 기기를 감염시켜 거대한 광고 사기 네트워크를 형성하고 있습니다. Human Security의 Satori 연구팀은 이 새로운 변종을 발견하고, 그 심각성을 경고했습니다.
Badbox의 기원과 진화
Badbox는 처음 2023년에 등장했습니다. 당시에는 저가형 안드로이드 기반의 인터넷 연결 TV 기기, 즉 Apple TV, Roku, Amazon Fire Stick 등의 모조품에 악성코드가 심어져 있었습니다. 이 기기들은 Peachpit이라는 대규모 광고 사기 네트워크의 일부로 작동했습니다. 초기 Badbox 클러스터에는 약 74,000대의 기기가 참여했었습니다.
하지만 이번에 발견된 Badbox 2.0은 그 규모와 범위가 훨씬 큽니다. 주로 AOSP(Android Open Source Project)를 기반으로 하는 저가형 안드로이드 기기들이 타겟이 되었으며, 여기에는 저가형 스마트폰, 인터넷 연결 TV 박스, 차량용 태블릿, 디지털 프로젝터 등이 포함됩니다.
공급망 공격과 악성 앱
Badbox 봇넷의 운영자들은 주로 공급망을 통해 악성코드를 배포합니다. 저가형 하드웨어를 구매한 후 이를 리브랜딩하고, 펌웨어나 자주 사용되는 앱에 악성코드를 심어 다시 판매하는 방식입니다. 또한, 제3자 안드로이드 앱 스토어에 악성 앱을 배포하여 봇넷을 확장합니다. 이러한 앱들은 Google Play Store에 등록된 정상 앱의 '악의적 쌍둥이'로, 사용자를 속여 다운로드하게 만듭니다.
글로벌 확산과 광고 사기
Badbox 2.0은 전 세계 222개국과 지역에서 네트워크 트래픽을 생성하며, 이는 UN이 인정한 248개국 중 대부분을 포함합니다. 봇넷은 사용자가 보지 못하는 광고를 숨겨서 광고주에게 노출되었다고 속이는 방식으로 수익을 창출합니다. 광고 클릭 사기 역시 주요 수익원 중 하나입니다.
Human Security의 연구원들은 이 봇넷의 운영자들이 사기 행위를 감추기 위해 다양한 방법을 사용한다고 밝혔습니다. 예를 들어, 중국 내 서버에서 발생하는 대량의 광고 조회나 클릭은 쉽게 탐지되지만, 전 세계에 분산된 기기에서 발생하는 경우 탐지가 어렵습니다.
대응과 미래 전망
현재 Badbox 2.0은 Human Security, Google, Trend Micro, Shadowserver Foundation 등의 노력 덕분에 감염 기기 수가 절반으로 줄어들었습니다. 이들은 명령 및 제어 서버를 차단하고, 의심스러운 안드로이드 트래픽을 감시하며, 광고 사기에 대한 경고를 기업에 전달하는 등의 조치를 취하고 있습니다.
하지만 여전히 위험은 남아 있습니다. 연구원들은 Badbox 2.0의 운영자들이 새로운 방식으로 네트워크를 부활시키려 할 가능성이 높다고 경고합니다. 따라서 사용자들은 저가형 하드웨어와 제3자 앱 스토어 사용을 자제하고, 보안 업데이트를 철저히 하는 것이 중요합니다.
결론
Badbox 봇넷의 귀환은 사이버 보안의 중요성을 다시 한번 일깨워줍니다. 개인 사용자부터 기업까지 모두가 경각심을 가지고 보안에 신경 써야 할 때입니다. 특히 저가형 기기와 비공식 앱 스토어의 사용을 피하고, 최신 보안 패치를 유지하는 것이 필수적입니다. 이러한 노력들이 모여 더 안전한 디지털 환경을 만들어갈 수 있을 것입니다.