IOT 제품 악성코드 BadBox 2.0

BADBOX 2.0

BadBox 2.0은 제품이 공장 출하 시부터 사전 설치된 백도어 악성코드를 말한다. 이 백도어 악성코드는 부적절한 앱 다운로드를 통해 감염될 수 있는 고도화된 안드로이드(Android) 기반의 IoT(사물인터넷) 봇넷이다. 봇넷은 악성 소프트웨어(멀웨어, 백도어)에 감염되어 사이버 범죄자에 의해 조종되는 컴퓨터 네트워크를 의미한다. 다시말해 BadBox 2.0은 단순한 앱 기반 악성코드가 아니라, 공급망 수준에서 유포되는 백도어로서, 설치 단계에서 이미 네트워크 기반 악성코드가 설치되어 있다. 이 악성코드는 이미 전 세계 2백만~1,000만 대 이상 기기에 침투한 상태로 보고되고 있다.

BadBox 2.0의 특징은 모듈식 백도어 (BB2DOOR, libanl.so 등)가 펌웨어에 내장되어 재부팅·공장 초기화 후에도 제거되지 않는다. 즉 공장 출하 전 펌웨어(특정 하드웨어 장치를 제어하고 작동시키는 데 사용되는 소프트웨어) 설치된 상태로 판매되어 사용자가 기기를 켜는 즉시 감염된다. 또는 기기연동을 위한 앱 설치의 필수 과정인 앱스토어/다운로드 경로를 통해서 감염된다.

BadBox 2.0의 악성코드 기능은 광고 click 사기, 주거용 프록시(residential proxy 가정용 개인 인터넷 주소)제공, 백도어, 가짜 계정 생성, 개인정보와 자료 데이터 유출, 심지어 추후 악성 코드를 추가 유포하는 등의 기능을 가지고 있다. 연결된 기기가 사용자 모르게 C2 서버(공격자의 명령, 제어 서버)와 통신하며 네트워크 트래픽 흐름을 조작한다.

BadBox 2.0은 대부분 저가형 Android 기반 IoT 기기들, 특히 다음과 같은 제품들에서 주로 발견되고 있다고 보고된다.

1. Android TV 박스 및 스트리밍 기기 (예: X88 Pro‑10, T95, MXQ Pro, QPLOVE Q9, X96 시리즈, TV98 계열 등), 로봇청소기, 스마트기반 무선 앱 연동 제어 기기(PC/휴대폰 주변기기, 리모컨, CCTV 등등)

2. 자체 브랜드가 없는(제조사가 불확실한) 저가형 태블릿, 미니PC, 스마트기기, 디지털 프로젝터, 디지털 액자, 차량용 인포테인먼트 시스템(내비게이션, 오디오, 비디오, 인터넷 연결 등 다양한 정보와 오락기능을 통합하여 제공하는 시스템) 등

3. Google Play Protect 인증이 없는 안드로이드 운영체제(AOSP)기반의 기기, 특히 비공식 비인증 모델의 중국제품이 대부분이다.

BadBox 2.0의 감염 징후는, 기기 성능 저하, 과열, 느린 반응 속도, 백그라운드에서 설명할 수 없는 네트워크 트래픽 발생, Google Play Protect가 비활성화됐거나 아예 없음, 낯선 앱스토어 사용 또는 이름 모를 앱 설치, 광고사기, 원치 않는 광고를 삭제할 때 광고 강제 클릭 등이다.

BadBox 2.0에 감염된 제품을 피하는 방법은 구매 단계에서부터 주의해야 한다.

1. 가장 최선책은 저가형 중국산 스마트 전자제품, 즉 "사물 인터넷" (Internet of Things, IoT) 기술을 활용하여 인터넷에 연결되어 데이터를 주고받는 모든 종류의 중국산 IoT 기기(스마트기기), 특히 그중에서도 지나치게 저렴하거나 제조사가 불확실한 중국산을 피한다.

2. Google Play Protect 인증 여부 확인

3. 실제 사용자 리뷰, 상품광고 유튜브가 아닌 리뷰 전문 유튜브의 검증, 정식 유통처 또는 브랜드 제품 중심으로 구매

4. 공식 앱스토어 외 출처에서 앱 설치 금지

5. 설치 과정에서 Play Protect 설정 해제 요구 시 중단

6. 제공되지 않는 기능이나 무료 콘텐츠 제공하는 비인증 앱 주의