안드로이드 악성코드 'Octo'의 새로운 변종인 'Octo2'가 최근 NordVPN(노드VPN), Google Chrome(구글 크롬), Europe Enterprise(유럽 엔터프라이즈) 앱으로 위장해 유포되고 있는 것으로 확인됐다. 이 악성코드는 현재 이탈리아, 폴란드, 몰도바, 헝가리 등 유럽 지역에서 급속히 확산되고 있으며, 보안 전문가들은 Octo2의 고도화된 기능과 안정성을 고려할 때 조만간 전 세계로 확산될 가능성이 높다고 경고했다.
Octo는 2019년부터 2021년까지 활동했던 악성코드 ExoCompact(엑소컴팩트)에서 진화한 안드로이드 뱅킹 트로이 목마로, 그 뿌리는 2016년에 등장한 ExoBot(엑소봇)으로 거슬러 올라간다. 2018년 ExoBot의 소스 코드가 온라인에 유출되면서 다양한 변종들이 등장했고, 그 중에서도 가장 정교하게 발전된 것이 Octo였다.
보안 기업 ThreatFabric(쓰렛패브릭)은 2022년 4월, Google Play(구글 플레이) 스토어에서 위장된 가짜 클리너 앱들을 통해 Octo 악성코드가 처음 발견됐다고 밝혔다. 당시 이 악성코드는 기기 내 사기 행위 능력이 매우 뛰어나, 공격자들이 피해자의 데이터를 쉽게 접근할 수 있었다.
올해 초 Octo의 소스 코드가 유출되면서 여러 변종들이 출현했고, 이로 인해 기존 개발자 'Architect(아키텍트)'의 수익에도 상당한 타격이 발생했다. 이에 대응해 개발자는 업그레이드된 버전인 Octo2를 출시하며 사이버 범죄자들의 관심을 되살리려 했다. 이 과정에서 기존 Octo v1 사용자들을 위한 특별 할인까지 제공했다는 점에서, 업그레이드된 버전으로 전환을 유도하는 의도를 드러냈다.
새롭게 등장한 Octo2는 기존 버전에 비해 기능이 더욱 강화되었으며, 분석 회피 및 탐지 방지 능력이 크게 향상됐다. 우선 Octo2는 원격 액세스 도구(RAT) 모듈에 'SHIT_QUALITY'라는 설정을 추가했다. 이를 통해 데이터 전송의 품질을 낮추고, 인터넷 연결이 불안정한 환경에서도 안정적인 연결을 유지할 수 있게 했다. 이러한 기술은 탐지 회피 능력을 한층 강화해 악성코드의 존재를 알아차리기 어렵게 만들었다.
또한 Octo2는 페이로드를 네이티브 코드로 암호화하고 실행 중에 추가 라이브러리를 동적으로 로딩하는 방식을 사용해 분석을 더욱 복잡하게 만들었다. 보안 연구원들이 악성코드의 내부 동작을 파악하기 어렵게 함으로써, 역공학을 통한 분석을 막는 것이다.
특히, Octo2는 도메인 생성 알고리즘(DGA)을 기반으로 C2(명령 및 제어) 시스템을 운영한다. 이를 통해 악성코드는 지속적으로 새로운 도메인을 생성하고, 신속하게 C2 서버를 변경할 수 있다. 이로 인해 보안팀이 차단을 시도해도 악성코드가 계속해서 새로운 서버로 이동할 수 있어 차단이 매우 어려워졌다.
또 Octo2는 특정 앱의 푸시 알림을 가로채고 차단하는 기능을 추가해 공격자들이 목표 대상을 더욱 정확하게 타겟팅할 수 있게 했다. 이를 통해 보안 경고나 알림을 무력화해 탐지를 회피하는 전략을 취하고 있다.
ThreatFabric는 Octo2가 현재 유럽 지역을 타겟으로 한 공격 캠페인에서 가짜 NordVPN(노드VPN), Google Chrome(구글 크롬), Europe Enterprise(유럽 엔터프라이즈) 앱을 사용하고 있다고 밝혔다. 이러한 가짜 앱들은 주로 타깃 공격을 위해 사용되며, 특히 안드로이드 13 이상의 보안 제한을 우회하는 'Zombider(좀바이더)' 서비스를 통해 악성 페이로드를 APK 파일에 삽입하는 것으로 확인됐다.
현재 이 악성코드는 Google Play(구글 플레이) 스토어에서는 발견되지 않았고, 주로 서드파티 앱 스토어를 통해 유포되고 있다. 과거 Octo의 MaaS(멀웨어-서비스 플랫폼)는 미국, 캐나다, 호주, 중동 등 세계 여러 지역에서 공격을 실행한 전력이 있어 전문가들은 Octo2 역시 전 세계적으로 확산될 가능성이 높다고 경고했다.
보안 전문가들은 Octo2의 위협에 대비해 안드로이드 사용자들이 더욱 경각심을 가질 것을 강조했다. ThreatFabric는 Octo2가 더욱 안정적이고 회피 기술이 강화된 만큼 향후 더 큰 위협으로 발전할 수 있다고 분석했다. 이에 전문가들은 공식 앱 스토어만 이용하고, 서드파티 앱 스토어는 가급적 피하는 것이 중요하다고 조언했다. 특히 Google Play(구글 플레이)와 같은 공식 스토어는 상대적으로 안전하기 때문에 이를 통해서만 앱을 다운로드하는 것이 좋다고 했다.
또한, 신뢰할 수 있는 모바일 보안 솔루션을 설치하는 것도 권장했다. 실시간 스캔 및 웹 보호 기능을 제공하는 안티바이러스 앱은 악성코드 감염을 예방하는 데 도움이 된다. 전문가들은 앱 설치 전에는 개발자의 이름, 리뷰, 다운로드 수를 꼼꼼히 확인하라고 조언했다. 인기 앱을 위장한 악성코드의 경우 진짜 앱과 비교했을 때 다운로드 수나 평가가 적을 수 있으니 이를 확인하는 것이 중요하다는 것이다.
그리고 안드로이드 운영체제와 앱을 항상 최신 버전으로 업데이트하는 습관을 가져야 한다고 강조했다. 안드로이드 13 버전에서는 강화된 보안 조치가 도입되어 있기 때문에 기기를 최신 상태로 유지하는 것이 각종 위협에 대비하는 가장 효과적인 방법이라고 말했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[보안칼럼]IT 대란을 통해 본 공급망 공격을 대하는 자세](https://img.etnews.com/news/article/2024/09/21/news-p.v1.20240921.512677232a7f4ee0ba81462b9556e39c_P1.jpg)
![[미래로 가는 모빌리티 기업] 내비서 로봇 주차·배송까지…'모빌리티 플랫폼' 확장 가속](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202409/23/247b3dba-4399-4e46-9511-51d6af041697.jpg)
