전원만 켜도 감염된다...배드박스 2.0, 222개국으로 확산

배드박스(Badbox) 2.0이라는 안드로이드 멀웨어가 세계적으로 퍼져가고 있다. 확산 방법은 ‘선탑재’이다. 소비자들이 새로 구매한 안드로이드 제품에 이미 설치가 된 것을 말한다. 이런 경우 사람들은 깨끗한 새 제품이 손에 들어왔다고 생각하지만 사실은 누군가에 의해 조작된 것을 받고서도 모르게 된다. ‘새 제품은 믿을 수 있다’고 신뢰하기 때문에 사용자는 점검이나 청소를 하지 않으며, 따라서 멀웨어가 꽤나 오랜 시간 살아남아 활동하기도 한다.

FBI와 보안 업체 포인트와일드(Point Wild)의 분석에 의하면 이미 배드박스 2.0이 선탑재 된 신규 안드로이드 제품이 222개국(지역)에 퍼져 있다고 한다. 기기 수로 치면 100만 개 이상이 이미 감염된 것으로 추산된다. 포인트와일드가 분석했을 때, 멀웨어가 심겨진 곳은 펌웨어 깊숙한 곳에 내장된 libanl.so라는 파일이었다 “일종의 백도어로서 작동하고 있었으며, 사용자가 보이지 않는 광고를 클릭하도록 설계되기도 했습니다.”

배드박스 2.0?

배드박스는 2023년 10월에 처음 발견됐다. 당시에는 저가형 안드로이드 TV에서 발견됐다. 이 때에도 안드로이드 장비에 선탑재 되는 방식으로 퍼졌는데, 현재까지 발견된 모든 배드박스들은 버전 불문 전부 이런 기법으로 확산되고 있다. “사용자가 새 기기에 처음 전원을 넣고 켜는 순간부터 이미 공격에 노출되는 거라고 할 수 있습니다. 그래서 이 전파 방식은 특히 위험합니다.” 포인트와일드 측의 설명이다.

버전이 달라지면서 배드박스는 자신을 실어다 줄 장비의 종류와 수를 늘렸다. 스트리밍 박스, 디지털 프로젝터, 태블릿 등에서도 계속해서 배드박스가 발견됐는데, 공통점은 ‘저가형’이었다는 것이다. “종종 소규모 온라인 매장에서 거래되는 것들입니다. 규제가 허술한 공급망을 통해 제조되어 덜 유명한 온라인 매장을 통해 유통되기 때문에 제대로 검증되지 않는 게 특징이라고 할 수 있습니다. 공격자들은 그 중간 틈새를 파고들어 멀웨어를 심는 것이고요.”

배드박스 2.0은 활성화 직후, 제일 먼저 자신이 탑재되어 있는 기기를 주거용 프록시 네트워크의 일개 노드로 변환시킨다. 이 노드 정보는 공격자에게 전송되고, 공격자는 감염된 장비들이 유통됨에 따라 전 세계 곳곳에 광범위한 노드들을 보유하게 된다. 이 노드들은 훌륭한 공격 인프라가 되며, 공격자는 이 인프라를 다른 해킹 조직에 대여하거나 판매할 수 있다. 인프라 구매자/대여자들은 클릭 사기 공격, 무차별 대입 공격 등을 할 수 있게 되는데, 이런 인프라를 사용한 덕분에 추적에서부터도 안전할 수 있다.

배드박스 2.0은 사용자 모르게 은밀히 작동하기 때문에 느낌만으로 알아채기는 힘들다. 다만 CPU 사용률이 비정상적으로 높아지고, 그에 따라 장비가 과열 현상을 보이며 속도마저 저하되는 식의 ‘흔적’을 남기기는 한다. 따라서 장비 상태에 예민한 사용자라면 수상함을 느끼는 게 불가능하지는 않다고 포인트와일드는 말한다. “또한 장비를 사용하고 있지도 않은데 트래픽이 발생한다면, 그것 역시 이상한 현상입니다.”

구글은 안드로이드 장비에 구글 플레이 프로텍트(Google Play Protect)라는 안전 장치를 설치해 사용자들을 보호한다. 배드박스 2.0은 이 장치를 어떻게 회피하는 걸까? “배드박스 설치자들은 이 플레이 프로텍트를 언인스톨하거나 활성화시키는 것으로 보입니다. 배드박스가 탑재된 채 유통되는 장비들 대부분 프로텍트가 작동하지 않는다는 공통점이 있습니다. 새로 구매한 장비에 구글 플레이 프로텍트가 처음부터 없는 경우, 점검해볼 필요가 있습니다. 특히 유명하지 않은 제조사의 제품을 사용할 때는 더 그렇습니다.”

구매처 확인이 필수

그렇다고 모든 소비자들이 유명 브랜드에서 내놓은 고가 제품만 살 수는 없다. 포인트와일드는 “하지만 모든 소비자들이 이름도 없고, 출처 확인도 어려운 무명 회사나 판매자가 내놓는, 비정상적으로 싼 제품만을 사야 하는 것도 아니”라고 지적한다. “아무리 좋은 가격이라 하더라도 생산과 유통 때문에 더 내려갈 수 없는 하한선이라는 게 존재합니다. 그것 이상을 욕심낸다면, 그만큼 위험해질 수 있고 어디선가 은밀한 손해를 볼 수 있다는 걸 염두에 두어야 합니다.”

그러면서 포인트와일드는 “제품을 구매할 때, 제조사에 대해 잘 모른다면 검색이라도 해보라”고 권한다. “해당 제조사가 제대로 된 웹사이트를 가지고 있는지, 어떤 제품을 판매해 왔고, 어떤 정책을 가지고 있는지, 어떤 업데이트 이력을 보유하고 있는지 등을 찾아봐야 합니다. 그게 귀찮으면 유명 브랜드의 비싼 제품을 사는 게 안전 측면에서는 더 낫습니다.”

이번 캠페인의 배후에 누가 있는지는 아직 알 수 없다. 하지만 중국에 기반을 두고 있을 가능성이 높다고 포인트와일드는 보고 있다.

Related Materials

• Satori Threat Intelligence Disruption: BADBOX 2.0 Targets Android Devices - Human Security, 2025년
• Home Internet Connected Devices Facilitate Criminal Activity (BADBOX 2.0 관련 FBI 경고) - FBI IC3, 2024년
• BADBOX Botnet Is Back - Bitsight, 2024년
• Millions of Android devices roped into Badbox 2.0 botnet. Is yours among them? - HelpNetSecurity, 2025년