ZeroDayRAT 스파이웨어, Android 5-16 및 iOS 26까지 실시간 감시 기능 제공

3줄 요약

• ZeroDayRAT는 텔레그램에서 판매되는 모바일 스파이웨어로 Android 5-16 및 iOS 26까지 지원합니다
• 실시간 카메라/마이크 감시, 키로거, OTP 가로채기, 암호화폐 지갑 주소 변조 등 포괄적인 공격 기능을 제공합니다
• NFC 기반 탭투페이 악성코드가 급증하며 중국 사이버범죄 커뮤니티에서 활발히 거래되고 있습니다

📌 주요 내용

ZeroDayRAT 스파이웨어의 등장과 특징

사이버보안 연구원들이 텔레그램에서 광고되는 새로운 모바일 스파이웨어 플랫폼 ZeroDayRAT의 세부 정보를 공개했습니다. iVerify의 보안 연구원 Daniel Kelley는 “개발자가 판매, 고객 지원, 정기 업데이트를 위한 전용 채널을 운영하며, 구매자에게 완전히 작동하는 스파이웨어 패널에 대한 단일 접근 지점을 제공한다”고 밝혔습니다.

ZeroDayRAT는 Android 버전 5부터 16까지, 그리고 iOS 버전 26까지 지원하도록 설계되었습니다. 악성코드는 소셜 엔지니어링이나 가짜 앱 마켓플레이스를 통해 배포되는 것으로 평가됩니다.

포괄적인 감시 및 데이터 수집 기능

악성코드가 기기를 감염시키면, 공격자는 자체 호스팅 패널을 통해 다음과 같은 모든 세부 정보를 확인할 수 있습니다:

• 기기 모델, 위치, 운영체제, 배터리 상태
• SIM 및 통신사 세부 정보
• 앱 사용 현황 및 알림
• 최근 SMS 메시지 미리보기

패널은 현재 GPS 좌표를 추출하여 Google Maps에 표시하며, 시간 경과에 따른 모든 위치 기록을 추적합니다.

계정 정보 수집 및 실시간 감시

Kelley는 “가장 문제가 되는 패널 중 하나는 계정 탭”이라고 덧붙였습니다. 기기에 등록된 모든 계정이 열거됩니다: Google, WhatsApp, Instagram, Facebook, Telegram, Amazon, Flipkart, PhonePe, Paytm, Spotify 등, 각각 연결된 사용자 이름이나 이메일과 함께 표시됩니다.

ZeroDayRAT의 다른 주요 기능은 다음과 같습니다:

• 키스트로크 로깅
• SMS 메시지 수집(2단계 인증을 우회하기 위한 OTP 포함)
• 실시간 카메라 스트리밍을 통한 실시간 감시
• 피해자를 원격으로 모니터링할 수 있는 마이크 피드

금융 탈취 기능

금융 탈취를 가능하게 하기 위해, 악성코드는 MetaMask, Trust Wallet, Binance, Coinbase와 같은 지갑 앱을 스캔하는 스틸러 컴포넌트를 포함하고, 클립보드에 복사된 지갑 주소를 공격자가 제어하는 지갑으로 거래를 리디렉션하도록 대체합니다.

또한 Apple Pay, Google Pay, PayPal과 함께 UPI(Unified Payments Interface) 프로토콜을 사용한 즉시 송금을 가능하게 하는 인도 디지털 결제 애플리케이션인 PhonePe를 타겟으로 하는 뱅킹 스틸러 모듈도 존재합니다.

NFC 기반 탭투페이 공격의 급증

Group-IB는 지난달 보고서에서 NFC 지원 Android 탭투페이 악성코드의 급증을 목격했다고 밝혔습니다. 대부분은 텔레그램의 중국 사이버범죄 커뮤니티 내에서 광고되고 있습니다.

싱가포르에 본사를 둔 사이버보안 회사는 “2024년 11월부터 2025년 8월까지 한 POS 공급업체만으로부터 최소 355,000달러의 불법 거래가 기록되었다”고 말했습니다.

Group-IB는 TX-NFC, X-NFC, NFU Pay를 포함한 세 개의 주요 Android NFC 릴레이 앱 공급업체를 확인했습니다. TX-NFC는 2025년 1월 초 운영을 시작한 이후 텔레그램에서 25,000명 이상의 구독자를 모았습니다.

다양한 모바일 악성코드 캠페인

최근 몇 주 동안 다음과 같은 다양한 모바일 악성코드 및 사기 캠페인이 발견되었습니다:

• Hugging Face를 통한 Android RAT 배포: 사용자가 무해해 보이는 드로퍼 앱(예: TrustBastion)을 다운로드하면 업데이트를 설치하라는 메시지가 표시되어 Hugging Face에 호스팅된 APK 파일을 다운로드합니다.

• Arsink RAT: Google Apps Script를 사용하여 Google Drive로 미디어 및 파일을 유출하며, C2를 위해 Firebase와 Telegram도 사용합니다. 감염은 이집트, 인도네시아, 이라크, 예멘, 튀르키예에 집중되어 있습니다.

• Anatsa 뱅킹 트로이목마: Google Play 스토어에 업로드된 All Document Reader 앱(패키지 이름: com.recursivestd.highlogic.stellargrid)이 Anatsa 뱅킹 트로이목마의 설치 프로그램 역할을 하는 것으로 표시되었습니다. 이 앱은 삭제되기 전에 50,000회 이상의 다운로드를 유치했습니다.

• deVixor: 2025년 10월부터 피싱 웹사이트를 통해 이란 사용자를 적극적으로 타겟팅하는 Android 뱅킹 트로이목마로, 랜섬웨어 모듈을 포함하고 있습니다.

• Triada 악성코드: Chrome 브라우저 업데이트로 위장한 피싱 랜딩 페이지를 사용하여 사용자를 속여 GitHub에 호스팅된 악성 APK 파일을 다운로드하도록 유도합니다.

👨‍💻 개발자에게 미치는 영향

모바일 보안 강화의 필요성

ZeroDayRAT와 같은 상용 스파이웨어 플랫폼의 등장은 모바일 앱 개발 시 보안 고려사항이 더욱 중요해졌음을 보여줍니다. 개발자는 다음 사항에 주의해야 합니다:

• 권한 관리: 접근성 권한과 같은 민감한 권한 요청을 최소화하고, 필요한 경우에만 요청해야 합니다
• 앱 서명 검증: 앱 무결성 검증 메커니즘을 구현하여 변조를 방지해야 합니다
• 네트워크 통신 보안: 모든 네트워크 통신에 SSL 피닝과 인증서 검증을 적용해야 합니다

금융 앱 개발 시 특별 고려사항

NFC 기반 결제 중계 공격의 급증은 금융 앱 개발자에게 특히 중요합니다:

• 클립보드 모니터링: 지갑 주소나 계좌번호 붙여넣기 시 추가 검증 단계를 구현해야 합니다
• 거래 확인: 모든 금융 거래에 대해 사용자 확인 프로세스를 강화해야 합니다
• 이상 거래 탐지: 비정상적인 거래 패턴을 실시간으로 탐지하고 경고하는 시스템을 구축해야 합니다

배포 채널 보안

개발자는 공식 앱 스토어 외부의 배포를 제한하고, 사용자에게 검증된 소스에서만 앱을 다운로드하도록 교육해야 합니다. 엔터프라이즈 프로비저닝 기능이 악용될 수 있으므로, 이러한 배포 방법을 사용할 때는 추가적인 보안 조치를 취해야 합니다.

원문 기사 보기