SBS Biz

정보 탈취를 넘어 원격 제어, 실시간으로 금융사기를 벌이는 안드로이드 악성코드 '원더랜드'가 유포되고 있습니다.

25일 보안기업 그룹-IB 분석에 따르면 원더랜드는 정상 앱으로 위장한 '드로퍼'로 최초 침투를 시작해 악성코드를 침투합니다.



원더랜드는 설치 즉시 악성 행위를 시작하는 트로이목마 APK(앱 파일)가 아니라 정상 앱처럼 위장하다가 악성 페이로드를 이용자 환경에서 실행하는 방식을 사용합니다.

해당 방식은 네트워크 연결 없이도 악성코드를 설치할 수 있고, 초기 보안 점검이나 정적 분석을 회피할 수 있습니다.

원더랜드의 특징은 양방향 통신으로 공격자가 실시간 명령을 내릴 수 있다는 점입니다.

공격자는 양방향 통신으로 문자메시지(SMS)와 일회용 비밀번호 생성기(OTP) 탈취, USSD(이동통신사 서버와 정보를 주고받는 기술) 명령 실행, 연락처와 전화번호 탈취, 알림 숨김, 추가 SMS 발송 등을 수행합니다.



이에 공격자는 금융 인증 절차를 우회해 자금을 탈취할 수 있고, 감염된 기기를 또 다른 공격 거점으로 이용할 수 있게 됩니다.

원더랜드 공격자는 텔레그램을 핵심 인프라를 활용하는 것으로 확인됐습니다.

사용자가 권한을 허용하면 공격자는 해당 기기의 전화번호를 이용해 텔레그램 계정을 탈취하고, 해당 계정의 대화목록과 연락처를 대상으로 악성 앱을 재유포합니다.

현재 다크웹에서 탈취된 텔레그램이 유통되며 공격에 활용되고 있는 것으로 나타났습니다.

최근 원더랜드 외에도 넥서스루트, 프로그블라이트 등 다른 악성코드도 안드로이드 OS에 유포되고 있는데, 이들도 정상 앱으로 위장하거나 OTP와 결제정보를 탈취해 주의가 요구되고 있습니다.

보안 업계 관계자는 "이러한 흐름은 단순한 공격 기법의 진화가 아니라 안드로이드 해킹이 완전히 플랫폼화된 범죄 비즈니스로 전환됐음을 보여주는 신호다"라고 말했습니다.