BTMOB 안드로이드 악성코드 서비스, 맞춤형 피싱 페이로드 생성

출처: Bleeping Computer

Android 원격 액세스 트로잔인 BTMOB가 사이버 범죄자에게 피싱 유인에 맞춤형 악성 페이로드를 생성할 수 있는 빌더 인터페이스와 함께 제공됩니다. 이 플랫폼은 데이터 절도, 금융 거래 가로채기, 스크린샷 캡처, 원격 제어 등 다양한 기능을 제공합니다.

개요

• Malware-as-a-Service (MaaS) – 클리어웹에 광고되며, APK 빌더를 통해 코딩 없이 손쉽게 맞춤 설정이 가능합니다.
• Customization – 고객은 APK가 요청하는 권한을 선택하고, Google Play 비활성화, 앱 아이콘 숨기기, 슬립 모드 방지와 같은 동작을 정의할 수 있습니다.
• Target region – 주로 브라질 및 라틴아메리카에서 활동합니다.

BTMOB의 페이로드 빌더
출처: ESET

역사 및 출처

• BTMOB는 새로운 트로잔이 아닙니다. 2025년 2월에 ANY.RUN이 분석했으며, Cyble에 의해 고급 Android 악성코드로 문서화되었습니다.
• Cyble은 2주 안에 BTMOB 2.5 샘플 약 15개를 보고했으며, 이는 활발한 개발을 나타냅니다.
• ESET 연구원들은 BTMOB를 SpySolr 악성코드 계열의 진화형으로 설명합니다.

배포 및 캠페인

• 판매는 비공개 텔레그램 채널에서 이루어집니다. 가격 옵션으로는 월 $700 구독 또는 $5,000 평생 라이선스가 있습니다.
• 배포는 스트리밍 서비스나 암호화폐 채굴 플랫폼으로 위장한 피싱 웹사이트를 통해 이루어집니다. 피해자는 Google Play를 모방한 포털로 리다이렉트되어 가짜 앱을 다운로드하도록 유도됩니다.

BTMOB 클리어넷 사이트
출처: ESET

• 최근 Johnk3r와 Merl 연구원들이 관찰한 캠페인에서는 아르헨티나 정부 기관을 유인책으로 사용하여, 위조된 Google Play 페이지에서 악성 앱을 배포했습니다.

가짜 Google Play 사이트에 있는 악성 앱
출처: Merl

기술 세부 사항

• 플랫폼은 캠페인 주제에 맞는 맞춤형 현지화 피싱 유인을 생성할 수 있습니다.
• 설치되면 BTMOB는 Android 접근성 서비스를 악용하여 추가 사용자 상호작용 없이 높은 권한과 시스템 접근을 얻습니다.

탐지 및 완화

• ESET은 정적 탐지 규칙을 지속적으로 업데이트하지만, 새로운 페이로드의 빠른 생성은 단일 계층 방어를 무력화시킬 수 있습니다.
• Android 사용자에게 권장 사항:
  • 공식 Google Play 스토어에서만 앱을 설치하십시오.
  • Play Protect를 활성화하고 의존하십시오.
  • 위험한 권한, 특히 접근성 권한을 명시적으로 필요하지 않은 경우 철회하십시오.

---