Mirax 안드로이드 RAT: 당신의 스마트폰이 프록시가 될 수 있습니다

새로운 안드로이드 악성코드가 당신의 스마트폰을 프록시로 사용하고 있습니다

사이버 보안 연구원들이 Mirax 안드로이드 RAT라는 정교한 새로운 위협을 발견했습니다. 이 원격 접근 트로이목마는 페이스북과 인스타그램을 포함한 메타 플랫폼에 게재된 광고를 통해 조용히 220,000명 이상의 사용자에게 침투했습니다. Mirax가 특히 주목받는 이유는 그 규모뿐만 아니라, 설치된 이후 수행하는 행동에 있습니다. 감염된 안드로이드 기기를 SOCKS5 프록시 네트워크의 노드로 전환하여, 일반 스마트폰을 범죄 인터넷 트래픽을 우회시키는 도구로 만들어 버립니다.

모바일 광고를 클릭한 후 공식 구글 플레이 스토어 외부에서 앱을 설치하도록 유도받은 적이 있다면, 이 위협은 당신에게도 해당되는 이야기입니다.

SOCKS5 프록시 봇넷이란 무엇이며, 범죄자들은 왜 이를 구축할까요?

Mirax가 왜 위험한지 이해하려면, SOCKS5 프록시가 무엇인지, 그리고 사이버 범죄자들이 왜 이를 가치 있게 여기는지 이해하는 것이 도움이 됩니다.

SOCKS5 프록시는 네트워크 트래픽을 중간 장치를 통해 우회시키는 일종의 인터넷 중계 방식입니다. 합법적인 용도도 존재합니다. 기업들은 네트워크 관리 목적으로 프록시를 사용하고, 프라이버시를 중시하는 사용자들은 IP 주소를 숨기기 위해 신뢰할 수 있는 서버를 통해 트래픽을 우회하기도 합니다. SOCKS5는 유연하고 빠르기 때문에 합법적인 목적과 악의적인 목적 모두에 매력적입니다.

그러나 범죄자들이 프록시 네트워크를 소중히 여기는 데는 특별한 이유가 있습니다. 바로 익명성입니다. 공격자들이 수천 개의 감염된 스마트폰을 통해 활동을 우회시키면, 그들의 실제 위치와 신원을 추적하는 것이 거의 불가능해집니다. 감염된 각 기기는 징검다리 역할을 합니다. 사이버 공격의 흔적을 추적하는 수사관들은 실제 공격자가 아닌, 다른 나라에 있는 무고한 사람의 스마트폰을 지목하게 될 수도 있습니다.

이것이 바로 봇넷 기반 프록시 네트워크가 범죄 시장에서 상업적 가치를 지니는 이유이기도 합니다. 운영자들은 이러한 네트워크에 대한 접근권을 임대하여, 다른 악성 행위자들에게 보안 시스템에 의해 일반적으로 탐지되는 데이터센터 서버보다 훨씬 더 합법적으로 보이는, 분산되고 지속적으로 갱신되는 주거용 IP 주소 풀을 제공합니다.

Mirax RAT는 바로 이런 종류의 인프라를 구축하는 동시에 감염된 기기에서 개인 데이터를 탈취하도록 설계된 것으로 보입니다.

Mirax가 메타 광고를 통해 확산되는 방식

Mirax의 전달 메커니즘은 대부분의 사용자들이 익숙하게 받아들이는 것, 즉 소셜 미디어 광고를 악용하기 때문에 면밀히 살펴볼 필요가 있습니다.

연구원들은 Mirax가 메타 플랫폼에서 실행된 악성 광고를 통해 220,000명 이상의 피해자에게 도달했다는 사실을 밝혀냈습니다. 이 광고들은 사용자를 공식 앱 스토어 외부에서 애플리케이션을 다운로드하도록 유도했을 가능성이 높으며, 이를 사이드로딩이라고 합니다. 안드로이드의 개방적인 아키텍처는 사용자가 서드파티 출처에서 앱을 설치할 수 있도록 허용하는데, 이는 악성코드 배포자들이 지속적으로 악용하는 기능입니다.

악성코드 배포에 유료 광고를 사용하는 것은 사이버 범죄자들의 운영 방식이 더욱 광범위하게 변화하고 있음을 반영합니다. 피싱 이메일이나 손상된 웹사이트에만 의존하는 대신, 위협 행위자들은 이제 합법적인 광고 인프라에 투자하여 대규모 잠재 고객에게 빠르고 설득력 있게 접근하고 있습니다. 잘 만들어진 광고는 특히 친구나 가족의 콘텐츠 옆에 게재될 때 신뢰할 수 있는 것처럼 보일 수 있습니다.

메타는 악성 광고를 탐지하고 제거하기 위한 시스템을 갖추고 있지만, 광고 플랫폼의 규모가 방대하기 때문에 일부 캠페인은 적발되기 전에 어김없이 빠져나가게 됩니다.

이것이 당신에게 의미하는 바

안드로이드 기기를 사용하며 소셜 미디어 광고와 정기적으로 상호작용한다면, Mirax 캠페인은 몇 가지 실질적인 위험을 직접적으로 상기시켜 줍니다.

첫째, 당신의 기기는 당신도 모르는 사이에 침해되어 범죄 활동을 촉진하는 데 사용될 수 있습니다. 봇넷의 일부가 된다고 해서 반드시 눈에 띄는 증상이 나타나는 것은 아닙니다. 스마트폰이 약간 더 뜨거워지거나 배터리 소모가 빨라질 수 있지만, 많은 사용자들은 이를 알아채지 못하거나 다른 이유 때문이라고 여길 것입니다.

둘째, 범죄 프록시 네트워크가 수행하는 목적, 즉 트래픽을 숨기고 온라인에서 신원을 감추는 것은 소비자들이 VPN 및 프라이버시 도구를 통해 합법적으로 추구하는 목적과 동일합니다. 결정적인 차이는 동의와 보안에 있습니다. 합법적인 VPN은 당신이 직접 선택한 신뢰할 수 있는 암호화된 서버를 통해 당신 자신의 트래픽을 우회시킵니다. 반면 봇넷은 당신의 동의 없이 당신의 기기를 통해 타인의 범죄 트래픽을 우회시키며, 당신을 잠재적인 법적 조사에 노출시키고 당신의 대역폭과 데이터를 소비합니다.

셋째, 소셜 미디어 플랫폼에서 애플리케이션 광고를 접했다고 해서 해당 애플리케이션이 안전하다는 의미는 아닙니다. 광고의 출처가 광고되는 내용의 합법성을 보장하지는 않습니다.

안드로이드 기기를 보호하기 위한 실천 방법

Mirax와 같은 위협으로부터 자신을 보호하는 데 전문적인 기술 지식이 필요한 것은 아니지만, 일관된 습관이 필요합니다.

• 구글 플레이 스토어에서만 앱을 설치하세요. 광고, 메시지 링크, 또는 서드파티 웹사이트를 통해 유도되는 앱의 사이드로딩은 아무리 합법적으로 보이더라도 피하세요.
• 앱 권한을 꼼꼼히 검토하세요. 손전등 앱은 연락처에 접근하거나 백그라운드 네트워크 서비스를 실행할 필요가 없습니다. 과도한 권한 요청은 경고 신호입니다.
• 운영체제와 앱을 최신 상태로 유지하세요. 보안 패치는 악성코드가 악용하는 취약점을 차단합니다.
• 신뢰할 수 있는 모바일 보안 소프트웨어를 사용하세요. 평판이 좋은 여러 보안 애플리케이션은 알려진 악성코드 계열을 탐지하고 의심스러운 동작에 플래그를 표시할 수 있습니다.
• 앱 다운로드를 유도하는 모바일 광고에 회의적인 시각을 가지세요. 광고가 설치를 유도한다면, 진행하기 전에 공식 채널을 통해 해당 앱을 확인하세요.
• 데이터 사용량을 모니터링하세요. 백그라운드 데이터 소비의 원인 불명 급증은 당신이 허가하지 않은 목적으로 기기가 사용되고 있다는 신호일 수 있습니다.

Mirax 안드로이드 RAT는 범죄 조직이 일상적인 디지털 습관을 대규모로 악용할 만큼 성숙해졌다는 명확한 사례입니다. 이러한 공격이 어떻게 작동하는지 이해하는 것이 당신의 기기, 데이터, 그리고 인터넷 연결을 진정으로 당신 것으로 지키는 선택을 하기 위한 첫걸음입니다.