6년 만의 귀환, PJobRAT 안드로이드 RAT 변종, 대만 사용자 겨냥
사이버 보안 위협은 끊임없이 진화하며, 과거에 자취를 감췄던 악성코드도 새로운 모습으로 다시 등장하곤 합니다. 최근 소포스(Sophos) 연구진은 6년 전 사라졌던 안드로이드 원격 접속 트로이목마(RAT)인 PJobRAT의 새로운 변종을 발견했습니다. 이 변종은 대만 사용자들을 대상으로 더욱 강력해진 기능으로 공격을 시도하고 있어 주의가 필요합니다.
PJobRAT의 부활과 새로운 기능
2019년에 처음 발견된 PJobRAT은 SMS 메시지, 연락처, 기기 정보, 앱 정보, 문서, 미디어 파일 등을 탈취하는 기능을 가지고 있었습니다. 하지만 이번에 발견된 새로운 변종은 쉘 명령어를 실행할 수 있는 기능이 추가되었습니다. 이는 공격자가 감염된 기기를 더욱 강력하게 제어할 수 있게 됨을 의미합니다.
쉘 명령어 실행의 위험성
소포스는 쉘 명령어 실행 기능이 추가되면서 공격자가 기기 내 모든 앱의 데이터(WhatsApp 데이터 포함)를 탈취하고, 기기를 루팅하며, 네트워크 내 다른 시스템을 공격하고 침투하는 데 사용할 수 있다고 경고합니다. 심지어 공격 목표를 달성한 후에는 흔적 없이 악성코드를 제거할 수도 있습니다.
공격 대상의 변화
과거 PJobRAT은 데이팅 앱이나 메신저 앱으로 위장하여 주로 인도 군인을 표적으로 삼았습니다. 하지만 이번 변종은 데이팅 앱을 활용하는 방식에서 벗어나, 실제 작동하는 메신저 앱으로 위장하고 있습니다. 또한, 공격 대상도 인도에서 대만으로 변경되었습니다.
유포 경로 및 캠페인 지속 기간
새로운 PJobRAT 변종은 'SangaalLite'(SignalLite의 오타로 추정) 및 'CChat'(합법적인 앱을 사칭)과 같은 앱으로 위장하여 워드프레스(WordPress) 사이트를 통해 유포되었습니다. 현재 해당 사이트는 폐쇄되었지만, 소포스는 워드프레스 측에 이 사실을 신고했습니다. 소포스는 이번 캠페인이 최소 22개월에서 최대 2년 6개월 동안 진행되었을 것으로 추정합니다.
소규모 캠페인의 가능성
이번 캠페인은 일반 대중을 대상으로 하지 않았기 때문에 대규모 캠페인으로 보기는 어렵습니다. 하지만 특정 대상을 겨냥한 정교한 공격일 가능성이 있으며, 앞으로도 유사한 공격이 발생할 수 있다는 점을 염두에 두어야 합니다.
맺음말
PJobRAT의 귀환은 사이버 보안 위협이 끊임없이 진화하고 있음을 보여주는 사례입니다. 사용자들은 출처가 불분명한 앱을 다운로드하지 않도록 주의하고, 보안 소프트웨어를 최신 버전으로 유지하며, 의심스러운 링크나 첨부 파일을 클릭하지 않도록 주의해야 합니다. 사이버 보안 위협에 대한 지속적인 관심과 경각심은 피해를 최소화하는 데 필수적입니다.
