최근 ‘ToxicPanda’라는 신종 안드로이드 기반 뱅킹 트로이 목마가 아시아에서 출현하여 유럽과 라틴아메리카를 공격 대상으로 삼고 있습니다. 이 악성코드는 특히 이탈리아, 포르투갈, 스페인, 프랑스, 페루, 홍콩 등 주요 국가에서 약 1,500대 이상의 기기를 감염시키며 위협을 가하고 있습니다.
주요 특징 및 동작 방식
- 중국어 사용 위협 행위자: ToxicPanda는 중국어를 사용하는 공격 그룹에 의해 개발된 것으로 추정되며, 높은 수준의 계획과 조직력을 보여줍니다.
- 접근성 서비스 악용: 악성코드는 접근성 서비스를 활용해 계정 탈취와 기기 내 사기 활동을 수행합니다.
- 다양한 기능:
- OTP(일회용 비밀번호) 가로채기
- 원격 제어를 통한 기기 조작
- 민감한 사용자 데이터 수집
- C2 통신: 명령 및 제어(C2) 서버와의 통신은 AES 암호화를 사용해 데이터 전송 보안을 강화합니다.
- 제어판: 공격자들이 사용하는 정교한 제어판은 조직적인 악성 행위를 지원합니다.
위협 수준
비교적 단순한 구조를 가지고 있음에도 불구하고, ToxicPanda는 지역 확장으로 인해 위협 환경을 빠르게 변화시키고 있습니다. 특히 금융 산업을 주요 대상으로 삼아 기기 내 사기를 실행하며, 피해 규모를 점차 키우고 있습니다.
대상 국가 및 산업
- 대상 국가: 이탈리아, 포르투갈, 스페인, 프랑스, 페루, 홍콩 등
- 공격 산업: 금융 및 재무
결론 및 전망
ToxicPanda는 아직 다른 뱅킹 트로이 목마에 비해 완성도가 낮을 수 있지만, 지속적인 지역 확장과 악성코드의 진화 가능성은 금융 기관과 일반 사용자를 위협하고 있습니다. 향후 해당 맬웨어의 전파 경로와 진화 양상을 면밀히 추적할 필요가 있습니다.