매시브 모바일 멀웨어

사이버 보안 분석가들은 금융 정보 유출을 목적으로 기기 장악(DTO) 공격을 실행하도록 설계된 정교한 안드로이드 뱅킹 트로이목마인 '매시브(Massiv)'를 발견했습니다. 이 악성 프로그램은 합법적인 IPTV 애플리케이션으로 위장하여 온라인 TV 서비스를 찾는 사용자들을 표적으로 삼습니다.

집중적인 조사 캠페인을 통해 제한된 수의 악성코드가 발견되었지만, 그 위협 수준은 상당합니다. Massiv는 설치 후 공격자가 감염된 기기를 원격으로 제어하고, 사기 거래를 수행하며, 피해자의 모바일 뱅킹 계정을 직접 악용할 수 있도록 합니다.

해당 악성 소프트웨어는 올해 초 포르투갈과 그리스 사용자를 대상으로 한 공격 캠페인에서 처음 발견되었습니다. 그러나 포렌식 분석 결과, 해당 샘플 변종이 2025년 초까지 거슬러 올라가는 것으로 나타나, 그 이전에도 소규모 테스트 작업이 진행되었을 가능성을 시사합니다.

고급 자격 증명 수집 및 오버레이 조작

Massiv는 고급 안드로이드 뱅킹 악성코드에서 흔히 볼 수 있는 기능들을 포함하고 있습니다. 안드로이드의 MediaProjection API를 이용한 화면 스트리밍, 키로깅, SMS 가로채기, 그리고 합법적인 은행 및 금융 애플리케이션 위에 덧씌워지는 위장 화면 등 다양한 기법을 통해 사용자 인증 정보 탈취를 용이하게 합니다. 이러한 위장 화면은 사용자에게 로그인 자격 증명과 신용 카드 정보를 입력하도록 유도합니다.

특히 주목할 만한 공격 캠페인은 포르투갈 정부에서 신분증을 저장하고 디지털 모바일 키(Chave Móvel Digital 또는 CMD)를 관리하는 데 사용하는 애플리케이션인 gov.pt를 표적으로 삼았습니다. 악성 오버레이는 공식 인터페이스를 가장하여 사용자의 전화번호와 PIN 코드를 요구했는데, 이는 아마도 고객 신원 확인(KYC) 절차를 우회하기 위한 것으로 보입니다.

조사 결과, 도난당한 데이터가 피해자 명의로 새로운 은행 계좌를 개설하는 데 악용된 사례도 드러났습니다. 이러한 사기 계좌는 피해자들이 전혀 모르는 사이에 자금 세탁이나 무단 대출 신청에 사용되었습니다.

원격 제어 기능 및 화면 캡처 회피

Massiv는 단순히 자격 증명을 탈취하는 것을 넘어, 완벽한 기능을 갖춘 원격 접속 도구로 작동합니다. 공격자는 감염된 기기를 은밀하게 제어하면서 악성 활동을 숨기기 위해 검은색 화면을 표시합니다. 이러한 기법은 안드로이드 접근성 서비스를 악용하는 것으로, Crocodilus, Datzbro, Klopatra와 같은 다른 뱅킹 트로이목마에서도 발견되는 수법입니다.

일부 금융 애플리케이션은 화면 캡처 방지 메커니즘을 구현합니다. 이러한 방어 체계를 우회하기 위해 Massiv는 'UI 트리 모드'라는 기술을 사용합니다. 이 방법은 AccessibilityWindowInfo의 루트를 탐색하고 AccessibilityNodeInfo 객체를 재귀적으로 처리하여 기기의 보이는 인터페이스에 대한 상세한 표현을 재구성합니다.

이 악성코드는 보이는 텍스트, 콘텐츠 설명, UI 요소, 화면 좌표, 그리고 요소의 클릭 가능 여부, 편집 가능 여부, 포커스 여부, 활성화 여부를 나타내는 상호작용 플래그를 포함하는 구조화된 JSON 맵을 생성합니다. 텍스트를 포함하는 보이는 노드만 공격자의 명령 인프라로 전송되므로, 명령을 통해 정확한 원격 상호작용이 가능합니다.

포괄적인 악성 기능

Massiv는 광범위한 장치 조작 및 지속성을 가능하게 하는 다양한 운영 도구를 갖추고 있습니다. 주요 기능은 다음과 같습니다.

• 검은 화면 오버레이 활성화 또는 비활성화, 소리 및 진동 음소거
• 기기 화면 스트리밍 및 기기 정보 전송
• 원격으로 클릭 및 스와이프 제스처 실행
• 클립보드 내용 수정
• 패턴 인증을 사용하여 기기 잠금 해제
• 특정 애플리케이션 또는 잠금 화면에 오버레이를 배포합니다.
• 오버레이 패키지 다운로드 및 추가 APK 파일 설치
• 배터리 최적화, 기기 관리자, 플레이 프로텍트 등의 시스템 설정을 엽니다.
• SMS 및 패키지 설치 권한 요청
• 기기 로그 데이터베이스 삭제

이러한 기능들을 종합적으로 활용하면 공격자는 제어권을 유지하고, 탐지를 피하며, 정밀하게 금융 사기를 실행할 수 있습니다.

배포 전략: IPTV 테마 드롭퍼

Massiv는 IPTV 서비스를 모방한 드로퍼 애플리케이션을 사용하는 SMS 피싱 캠페인을 통해 확산됩니다. 설치 후, 드로퍼는 피해자에게 '중요' 업데이트를 설치하라는 메시지를 표시하고 외부 소스에서 애플리케이션을 설치할 권한을 요청합니다.

식별된 악성 아티팩트는 다음과 같습니다.

• IPTV24(hfgx.mqfy.fejku) - 드로퍼 애플리케이션
• Google Play(hobfjp.anrxf.cucm) – Massiv 페이로드

대부분의 사례에서 정상적인 IPTV 애플리케이션은 손상되지 않았습니다. 드로퍼는 단순히 웹뷰를 통해 IPTV 관련 웹 콘텐츠를 표시하여 마치 정상적으로 작동하는 것처럼 보이게 하는 동안 악성코드는 백그라운드에서 실행되었습니다.

지난 6개월 동안 이와 유사한 TV 광고 기반의 제품 배포 캠페인은 주로 스페인, 포르투갈, 프랑스, 터키를 대상으로 진행되었습니다.

상업화 및 지속적인 개발 지표

Massiv는 이미 포화 상태인 안드로이드 악성코드 생태계에 진입하여 사이버 범죄자 집단 내에서 완벽한 금융 사기 방지 솔루션에 대한 지속적인 수요를 보여주고 있습니다.

아직 서비스형 악성코드(Malware-as-a-Service)로 확정된 것은 아니지만, 분석 결과 그러한 방향으로 나아가고 있는 것으로 보입니다. 백엔드 통신을 위한 API 키 도입은 운영 표준화 및 제3자 활용 가능성 확보를 위한 노력으로 해석됩니다. 코드 검토 결과 활발한 개발이 진행 중임을 확인할 수 있으며, 이는 향후 버전에서 추가 기능 및 확장된 성능이 등장할 가능성을 시사합니다.