안드로이드 금융 탈취 악성코드 BankBot-YNRK·DeliveryRAT 분석 — 모바일 보안 위협 고도화

안드로이드 금융 탈취 악성코드 BankBot-YNRK·DeliveryRAT 분석 — 모바일 보안 위협 고도화

1️⃣ 개요

사이버보안 연구진이 안드로이드 기기를 겨냥한 BankBot-YNRK와 DeliveryRAT이라는 두 종류의 트로이목마 악성코드를 공개했다. 두 악성코드는 금융정보, 문자·통화 기록, 계정 인증서, 암호화폐 지갑 정보를 탈취할 수 있는 기능을 갖추고 있으며, 최근 모바일 악성코드의 고도화된 진화 양상을 보여준다.

2️⃣ BankBot-YNRK — 정교한 금융 탈취형 트로이목마

BankBot-YNRK는 보안업체 분석 결과, 세 개의 APK 샘플로 구성되어 있으며 다음과 같은 특징을 가진다.

• 기기 탐지: 가상화·에뮬레이터 환경 감지 후, 실제 기기 여부를 제조사·모델명(예: OPPO ColorOS, Google Pixel, Samsung)을 기반으로 판별.
• 음소거 위장: 앱 설치 직후 모든 알림·벨소리·음악을 음소거하여 이상 징후를 인지하지 못하게 함.
• 접근성 권한 탈취: “OPEN_ACCESSIBILITY” 명령을 받아 접근성 서비스 활성화를 유도하며, Android 13 이하 버전에서 자동 권한 획득 기법 사용.
• UI 캡처 및 금융앱 스크린샷: 62개 주요 금융앱을 타깃으로 UI 화면을 캡처해 사용자 계정·비밀번호 탈취.
• 암호화폐 지갑 공격: 접근성 기능을 이용해 MetaMask, Exodus, TrustWallet 등 지갑앱의 트랜잭션 조작 및 정보 탈취.
• 위장 아이콘: Google News 아이콘으로 위장하고, WebView로 news.google[.]com을 표시하여 정상 앱처럼 보이게 함.

Android 14 이상에서는 접근성 자동 획득이 차단되어 BankBot-YNRK의 활동 범위가 제한된다.

3️⃣ DeliveryRAT — 러시아 사용자를 겨냥한 원격제어형 악성앱

DeliveryRAT는 러시아 지역 안드로이드 사용자를 주요 표적으로 삼으며, 배달 서비스·은행·온라인 마켓·택배 추적 앱으로 위장한다. 공격자는 텔레그램 봇 “Bonvi Team”을 통해 악성 APK나 피싱 링크를 유포하고 있다.

• 설치 직후 알림 접근 권한 및 배터리 최적화 제외 요청 → 백그라운드 상주 유지.
• SMS·통화기록·저장소 접근 권한 탈취 및 앱 아이콘 숨김 처리.
• 일부 변종은 외부 서버를 이용한 DDoS 공격, QR코드 스캔 유도 등 추가 행위 수행.

DeliveryRAT는 Telegram 기반 제어로 탐지가 어렵고, 공격자가 실시간 명령을 전달할 수 있어 위험도가 높다.

4️⃣ 결제 데이터 탈취 및 글로벌 확산

보안기업 짐페리움(Zimperium)은 2024년 4월 이후 약 760개 안드로이드 앱이 NFC 결제 데이터 탈취 기능을 포함하고 있음을 발견했다. 악성앱은 안드로이드의 HCE(Host-based Card Emulation) 기능을 악용해 결제 토큰·카드 정보를 탈취하며, 이를 텔레그램 채널이나 ‘tapper’ 앱으로 전송해 POS 단말기에서 불법 결제에 사용했다.

Zimperium은 “러시아, 브라질, 폴란드, 체코, 슬로바키아 등 다수 국가 은행을 사칭한 악성앱이 발견됐다”고 밝혔다.

5️⃣ 보안 권고 및 대응

• 사용자 주의: 앱은 반드시 공식 Google Play 스토어를 통해 설치하고, 접근성·알림 접근을 요구하는 앱은 신중히 검토.
• 보안 유지: OS 및 보안앱을 최신 상태로 유지하고, 의심스러운 앱 발견 시 즉시 삭제.
• 기업 보안팀: MTD(모바일 위협 탐지) 솔루션 도입, 지갑앱 MFA 적용, 접근성 서비스 남용 탐지 정책 강화.
• NFC 결제 보안: 결제 관련 앱의 서명 검증 및 카드 에뮬레이션 기능 제한.
• 텔레그램 기반 배포 탐지: 내부 트래픽·메시징 로그에서 ‘tapper’, ‘Bonvi Team’ 등 의심 키워드 검색.

6️⃣ 결론

BankBot-YNRK와 DeliveryRAT는 모바일 악성코드의 새로운 진화 단계를 보여준다. 단순한 앱 감염을 넘어 기기 식별·권한 탈취·결제수단 악용을 복합적으로 수행하며, 금융·결제·통신 환경을 포괄적으로 위협하고 있다. 사용자와 기관 모두 모바일 보안 전략을 재점검하고, 보안 의식을 한층 높일 필요가 있다.