BTMOB 쥐

BTMOB RAT은 MaaS(Malware-as-a-Service) 모델을 통해 배포되는 정교한 안드로이드 원격 접속 트로이목마(RAT)입니다. 2025년 2월 사이버 보안 연구원들에 의해 처음 발견된 이 악성코드는 사이버 범죄자들이 기술 전문 지식이나 프로그래밍 지식 없이도 완벽하게 작동하는 스파이 도구를 구매하거나 임대할 수 있도록 해줍니다.

이 위협은 이전에 SpySolr로 알려진 안드로이드 악성코드 계열의 후속작으로 등장했습니다. BTMOB RAT 운영자들은 상업적 배포 모델을 채택함으로써 모바일 스파이 활동, 자격 증명 탈취 및 금융 사기 행위를 대규모로 자행하려는 범죄자들에게 진입 장벽을 크게 낮췄습니다.

안드로이드 접근성 기능을 활용하여 기기를 완벽하게 제어하는 방법

이 악성코드의 가장 위험한 기능 중 하나는 안드로이드 접근성 서비스를 악용하는 데 있습니다. BTMOB RAT은 이러한 서비스를 조작하여 피해자에게 경고 메시지를 표시하지 않고 은밀하게 관리자 권한을 획득합니다.

일단 활성화되면, 악성 프로그램은 기기 소유자를 대신하여 여러 작업을 수행할 수 있습니다. 화면 내용을 읽고, 인터페이스 요소와 상호 작용하며, 권한을 승인하고, 기기에 대한 제어권을 은밀하게 확장할 수 있습니다. 이러한 기술을 통해 공격자는 기존의 많은 보안 조치를 우회하면서 지속적이고 은밀한 접근 권한을 유지할 수 있습니다.

광범위한 감시 및 데이터 탈취 기능

BTMOB RAT는 공격자에게 광범위한 모니터링 및 스파이 기능을 제공합니다. 감염된 기기는 원격 운영자에게 완전히 노출되어 피해자의 스마트폰 활동을 지속적으로 감시하고 직접 상호 작용할 수 있게 됩니다.

해당 악성 소프트웨어는 다음과 같은 기능을 수행할 수 있습니다:

• 연락처, 문자 메시지, 통화 기록 및 저장된 계정 자격 증명을 훔치는 행위
• 스크린샷 캡처, 기기 활동 기록, 원격으로 애플리케이션 실행, 실시간 사용자 활동 모니터링

일반적인 뱅킹 트로이목마가 단순히 금융 정보 탈취에만 초점을 맞추는 것과는 달리, BTMOB RAT는 광범위한 원격 관리 기능을 제공하여 감염된 휴대폰을 원격으로 제어되는 감시 장치로 효과적으로 변모시킵니다.

탐지를 회피하도록 설계된 맞춤형 악성코드 생성

내장된 APK 빌더 패널을 통해 고객은 최소한의 노력으로 맞춤형 악성코드 변종을 생성할 수 있습니다. 이 빌더를 사용하면 운영자는 코드를 작성하지 않고도 위장 이름, 지역 타겟팅 매개변수 및 캠페인별 설정을 수정할 수 있습니다.

이러한 맞춤 설정 기능 덕분에 보안 제품의 탐지가 훨씬 어려워집니다. 각 배포본이 이전 샘플과 약간씩 다르게 나타날 수 있기 때문입니다. 연구원들은 2025년 1월 말 단 2주 만에 약 15개의 BTMOB RAT v2.5 샘플을 발견했는데, 이는 해당 멀웨어의 빠른 개발 속도와 공격적인 배포 주기를 보여줍니다.

범죄 조장 및 적극적인 지역 캠페인

BTMOB RAT은 여러 온라인 플랫폼에서 공개적으로 광고되고 있습니다. 구독료는 월 약 700달러이며, 평생 라이선스 옵션도 제공됩니다. 텔레그램 채널, 비공개 포럼, 인스타그램 및 X(트위터)와 같은 소셜 미디어 플랫폼에서 홍보 활동이 확인되었습니다.

기록된 대부분의 공격 캠페인은 주로 브라질 사용자를 대상으로 했지만, 아르헨티나의 피해자를 겨냥한 피싱 공격도 있었습니다. 일부 캠페인은 신뢰도를 높이고 피해자들이 악성 애플리케이션을 다운로드하도록 유도하기 위해 현지 세무서나 세관 당국을 사칭했습니다.

신뢰할 수 있는 플랫폼을 모방하는 감염 방법

악성코드 유포 캠페인은 일반적으로 합법적인 스트리밍 서비스, 암호화폐 플랫폼 및 기타 유명 브랜드를 사칭하는 피싱 웹사이트를 이용합니다. 피해자들은 공식 구글 플레이 스토어 인터페이스와 매우 유사하게 만들어진 가짜 앱 스토어로 리디렉션됩니다.

사용자들은 구글 공식 생태계 외부에서 호스팅되는 악성 APK 설치 프로그램을 다운로드하도록 유도됩니다. 이 악성 프로그램은 소셜 미디어와 암시장에서의 적극적인 홍보를 통해 확산되었으며, 무료 샘플을 유포하여 추가적인 범죄 고객을 유치했습니다.

미래 변종으로 인한 위험성 증가

사이버 범죄 개발자들은 지속성, 은밀성 및 공격 능력을 향상시키기 위해 악성코드 프레임워크를 끊임없이 발전시켜 왔습니다. 따라서 BTMOB RAT의 향후 버전에는 이미 알려진 기능 외에 추가 기능, 더욱 강력한 회피 메커니즘 또는 확장된 공격 기능이 도입될 수 있습니다.

BTMOB RAT과 같은 악성코드가 기기에 존재할 경우 심각한 개인정보 침해, 신원 도용, 무단 금융 거래는 물론, 감염된 시스템을 더욱 악화시키는 여러 2차 감염까지 발생할 수 있습니다.

Mirax, Oblivion, Arsink 등 안드로이드를 대상으로 하는 다른 원격 접속 트로이목마는 무단으로 기기에 접근하고, 민감한 정보를 수집하며, 탈취한 데이터를 범죄 수익으로 전환하는 등 유사한 목적을 가지고 작동합니다.

안드로이드 RAT 감염에 대한 필수 방어 조치

BTMOB RAT과 같은 위협으로부터 감염을 예방하기 위해서는 강력한 모바일 보안 관행이 여전히 중요합니다.

주요 보호 조치는 다음과 같습니다.

• 앱은 공식 Google Play 스토어 또는 검증된 개발자 소스에서만 다운로드하고, 원치 않는 다운로드 링크는 피하고, 앱 권한을 꼼꼼히 검토하고, 소프트웨어를 최신 버전으로 유지하고, 설치 전에 사용자 리뷰를 확인하세요.
• 보안 침해가 발생하기 전에 악성 애플리케이션과 의심스러운 행위를 탐지할 수 있는 신뢰할 수 있는 모바일 보안 솔루션을 사용하십시오.

안드로이드 악성코드 생태계가 계속 진화함에 따라, 경계심, 소프트웨어 위생 관리, 그리고 신중한 애플리케이션 관리는 점점 더 정교해지는 모바일 사이버 위협에 맞서기 위한 필수적인 방어 수단으로 남아 있습니다.