ZeroDayRAT 멀웨어가 Android 및 iOS 기기에 대한 전체 접근 권한을 부여합니다

Source: Bleeping Computer

새로운 상업용 모바일 스파이웨어 플랫폼 ZeroDayRAT가 텔레그램에서 사이버 범죄자들에게 광고되고 있으며, 감염된 Android 및 iOS 기기에 대한 완전한 원격 제어를 제공하는 도구라고 소개됩니다. 이 악성코드는 구매자에게 감염된 기기를 관리할 수 있는 완전한 기능을 갖춘 패널을 제공하며, Android 5부터 16까지, iOS는 최신 버전인 26까지 지원한다고 합니다.

모바일 위협 헌팅 기업 iVerify의 연구원들은 ZeroDayRAT가 단순히 데이터를 탈취할 뿐만 아니라 실시간 감시와 금전적 절도까지 가능하게 만든다고 밝혔습니다.

대시보드 개요

대시보드에는 감염된 기기와 모델, 운영체제 버전, 배터리 상태, SIM 정보, 국가, 잠금 상태 등에 대한 정보가 표시됩니다.

Source: iVerify

악성코드는 앱 사용 기록, 활동 타임라인, SMS 교환 내용을 로그로 남기며, 운영자에게 개요를 제공합니다. 다른 탭에서는 수신된 모든 알림과 기기에 등록된 계정(이메일/사용자 ID)을 표시하고, 이를 통해 무차별 대입(brute‑forcing) 및 자격 증명 채우기(credential stuffing)를 수행할 수 있습니다.

실시간 위치 추적

GPS 접근 권한을 확보하면 악성코드는 피해자를 실시간으로 추적하고 Google Maps 뷰에 현재 위치를 표시하며, 전체 위치 기록을 유지합니다.

Source: iVerify

카메라, 마이크 및 화면 캡처

ZeroDayRAT는 전면·후면 카메라와 마이크를 활성화해 실시간 미디어 피드를 제공하거나, 피해자의 화면을 녹화해 다른 비밀을 노출할 수 있는 기능을 지원합니다.

Source: iVerify

자격 증명 가로채기 및 OTP 탈취

SMS 권한을 얻으면 악성코드는 수신된 일회용 비밀번호(OTP)를 가로채 2FA 우회를 가능하게 하고, 피해자 기기에서 SMS를 전송할 수도 있습니다. 내장된 키로깅 모듈은 비밀번호, 제스처, 화면 잠금 패턴 등 사용자의 입력을 모두 기록합니다.

암호화폐 및 은행 탈취 모듈

암호화폐 탈취 모듈은 MetaMask, Trust Wallet, Binance, Coinbase 등 지갑 앱을 스캔해 지갑 ID와 잔액을 기록하고, 클립보드에 복사된 주소를 공격자가 제어하는 주소로 교체하는 주소 주입을 시도합니다. 은행 탈취 모듈은 온라인 뱅킹 앱, UPI 플랫폼(Google Pay, PhonePe) 및 결제 서비스(Apple Pay, PayPal)를 표적으로 하여 가짜 화면을 오버레이해 자격 증명을 탈취합니다.

Source: iVerify

완화 권고 사항

• 공식 스토어(Google Play for Android, Apple App Store for iOS)에서만 앱을 설치하십시오.
• 평판이 좋은 퍼블리셔의 앱을 사용하고 운영체제와 앱을 최신 상태로 유지하십시오.
• 고위험 사용자는 iOS에서 Lockdown Mode를, Android에서 Advanced Protection을 활성화하십시오.
• 기기 권한을 모니터링하고 불필요한 접근(예: 카메라, 마이크, SMS)을 취소하십시오.
• 기업 환경에서는 모바일 디바이스 관리(MDM) 솔루션을 도입해 무단 원격 제어 도구를 탐지하고 차단하십시오.

단일 기기가 침해당하면 개인 프라이버시가 노출되고 상당한 금전적 손실이 발생할 수 있으며, 직원 기기가 침해될 경우 기업 전체에 더 큰 보안 사고가 일어날 수 있습니다.