ZeroDayRAT 모바일 스파이웨어

사이버 보안 연구원들이 텔레그램에서 안드로이드 및 iOS 기기의 민감한 데이터를 추출하고 실시간 감시를 수행하는 종합 솔루션으로 홍보되고 있는 정교한 모바일 스파이웨어 플랫폼인 ZeroDayRAT을 발견했습니다. 즉시 배포 가능한 스파이 도구 모음으로 판매되는 이 플랫폼은 기본적인 데이터 수집을 넘어 능동적인 모니터링과 직접적인 금전적 착취까지 수행합니다.

해당 운영업체는 판매, 고객 지원 및 지속적인 업데이트를 위한 전용 텔레그램 채널을 운영하여 구매자에게 완벽한 기능을 갖춘 스파이웨어 생태계에 대한 중앙 집중식 접근을 제공합니다. 이러한 간소화된 유통 모델은 고도의 감시 기능을 원하는 사이버 범죄자들의 진입 장벽을 크게 낮춥니다.

폭넓은 기기 호환성과 유연한 배포

ZeroDayRAT은 안드로이드 5~16 버전과 iOS 26 버전까지 지원하여 광범위한 기기에서 작동합니다. 이 악성 프로그램은 주로 소셜 엔지니어링 캠페인과 사용자를 속여 악성 애플리케이션을 설치하도록 설계된 사기성 앱 마켓플레이스를 통해 유포되는 것으로 알려져 있습니다.

구매자는 맞춤형 악성 바이너리를 생성하는 악성코드 제작 도구를 받게 됩니다. 이러한 바이너리는 운영자가 자체 서버에 배포할 수 있는 온라인 제어판을 통해 관리되며, 이를 통해 감염된 장치에 대한 완전한 관리자 권한을 확보할 수 있습니다.

포괄적인 기기 인텔리전스 및 위치 추적

ZeroDayRAT은 설치 후 운영자에게 감염된 기기에 대한 광범위한 가시성을 제공합니다. 공격자는 자체 호스팅 관리 패널을 통해 기기 모델, 운영 체제 버전, 배터리 상태, SIM 데이터, 통신사 정보, 애플리케이션 사용 내역, 알림 내용, 최근 SMS 메시지 미리보기 등과 같은 상세 정보에 접근할 수 있습니다. 이러한 정보를 바탕으로 공격자는 통신 패턴 및 자주 사용하는 애플리케이션을 포함한 피해자의 상세한 프로필을 구축할 수 있습니다.

이 플랫폼은 실시간 GPS 좌표를 캡처하여 구글 지도에 표시하는 동시에 피해자의 이동 기록을 보관합니다. 이러한 지속적인 위치 추적 기능은 감염된 기기를 지속적인 감시 도구로 효과적으로 변모시킵니다.

계정 열거 및 자격 증명 노출

특히 우려스러운 기능은 감염된 기기에 등록된 모든 계정을 나열하는 '계정' 패널입니다. 여기에는 다음과 같은 널리 사용되는 서비스가 포함됩니다.

• 구글, 왓츠앱, 인스타그램, 페이스북, 텔레그램
• 아마존, 플립카트, 폰피, 페이티엠, 스포티파이

연결된 사용자 이름이나 이메일 주소도 노출되어 자격 증명 탈취, 신원 프로파일링 및 계정 탈취 시도 가능성이 높아집니다.

고급 감시 및 2단계 인증 우회

ZeroDayRAT은 다양한 침입형 감시 및 감청 기능을 통합하고 있습니다. 이러한 기능에는 다음이 포함됩니다.

• 자격 증명 및 개인 통신 내용을 캡처하기 위한 키 입력 로깅
• 2단계 인증 우회에 사용되는 일회용 비밀번호(OTP)를 포함한 SMS 메시지 추출
• 실시간 카메라 스트리밍 및 마이크 활성화를 통한 실시간 시청각 모니터링

이러한 기능은 적들이 직접적인 상호 작용 감시를 수행할 수 있도록 해주며, 해킹된 장치를 원격 정보 수집 자산으로 활용할 수 있게 해줍니다.

암호화폐 및 은행 계좌 절도 방지 모듈 통합

감시 기능 외에도, 이 악성 소프트웨어는 금융 정보 탈취 메커니즘을 통합하고 있습니다. 암호화폐 탈취 구성 요소는 MetaMask, Trust Wallet, Binance, Coinbase와 같은 지갑 애플리케이션을 검색합니다. 피해자가 지갑 주소를 클립보드에 복사하면, 악성 소프트웨어는 해당 주소를 공격자가 제어하는 주소로 바꿔치기하여 사용자가 인지하지 못하는 사이에 거래를 가로챕니다.

전용 뱅킹 스틸러 모듈은 애플 페이, 구글 페이, 페이팔, 폰페를 포함한 디지털 결제 서비스를 집중적으로 공격합니다. 폰페는 인도의 통합 결제 인터페이스(UPI)를 활용하는데, UPI는 은행 간 개인 간 거래 및 개인과 가맹점 간 거래를 용이하게 하도록 설계된 프로토콜이므로 금전적 이득을 노리는 공격자들에게 매력적인 표적이 됩니다.

진화하는 모바일 스파이 위협

ZeroDayRAT은 완벽한 모바일 침해 프레임워크를 제공하며, 이전에는 국가 차원의 자원이나 맞춤형 익스플로잇 개발을 통해서만 가능했던 기능들을 이제 텔레그램을 통해 상업적으로 이용할 수 있습니다. 단 한 명의 운영자만으로도 피해자의 위치 데이터, 통신 내역, 금융 계좌 정보, 카메라 영상, 마이크 입력 내용, 키 입력 등을 브라우저 기반으로 접근할 수 있습니다.

이 악성 소프트웨어는 피싱 공격과 공식 앱 마켓플레이스 침투를 악용하는 모바일 위협의 광범위한 추세와 일맥상통합니다. 공격자들은 애플과 구글이 구현한 보안 조치를 우회하는 방법을 반복적으로 찾아내어, 사용자들이 악성 애플리케이션을 설치하도록 유도하고 있습니다.

iOS 기기에서 공격 캠페인은 기업이 공식 앱 스토어 외부에서 애플리케이션을 배포할 수 있도록 허용하는 기업용 프로비저닝 메커니즘을 악용하는 경우가 많습니다. 감시 및 금융 정보 탈취 기능을 결합한 스파이웨어 번들을 상용화함으로써, 공격자들은 경험이 부족한 사이버 범죄자들이 공격에 접근하는 기술적 장벽을 낮추는 동시에 모바일 기기 중심 공격의 정교함과 지속성을 강화하고 있습니다.

ZeroDayRAT은 고도화된 모바일 감시 및 금융 착취 능력이 더 이상 엘리트 위협 집단에만 국한되지 않고 사이버 범죄 지하 세계에서 점점 더 쉽게 접근 가능해지고 있다는 중요한 현실을 강조합니다.