[Lobsters 요약] AI 에이전트 Claude Code를 활용한 안드로이드 멀웨어 역분석: 저가형 프로젝터의 숨겨진 주거용 프록시 RAT 발견
53
설명
이 글은 저가형 안드로이드 프로젝터에서 발견된 정교한 멀웨어의 역분석 과정을 상세히 다룹니다. 저자는 Pi-hole을 통해 수상한 네트워크 트래픽을 감지한 후, AI 에이전트인 Claude Code를 활용하여 멀웨어의 정체를 파헤쳤습니다. 이 과정에서 단순한 애드웨어를 넘어선 다단계 원격 접근 트로이목마(RAT)와 상업용 주거용 프록시 네트워크의 연결고리가 드러났습니다. AI의 자율적인 분석 능력이 복잡한 멀웨어 리버스 엔지니어링에 어떻게 활용될 수 있는지 보여주는 흥미로운 사례입니다.
### 배경 설명
최근 몇 년간 저가형 안드로이드 기반 IoT 기기들이 시장에 쏟아져 나오면서, 이들 기기에 사전 설치된 악성 소프트웨어(멀웨어)에 대한 우려가 커지고 있습니다. 스마트 TV 박스, 저가형 태블릿, 그리고 본문에서 다루는 프로젝터와 같은 제품들은 가격 경쟁력을 위해 보안을 희생하거나, 심지어 제조사 수준에서 악성 기능을 탑재하는 경우가 빈번합니다. 이러한 멀웨어는 사용자 데이터를 유출하거나, 기기를 봇넷의 일부로 활용하는 등 다양한 형태로 악용될 수 있습니다.
특히, 공급망 공격의 일환으로 기기 제조 단계에서부터 멀웨어가 심어지는 '제조사 멀웨어(manufacturer malware)'는 사용자가 인지하거나 제거하기 매우 어렵다는 점에서 심각한 위협으로 간주됩니다. 이는 단순한 보안 취약점을 넘어선 의도적인 악성 행위로, 소비자의 신뢰를 심각하게 훼손하고 광범위한 피해를 야기할 수 있습니다. 본 사례는 이러한 제조사 멀웨어의 실체를 적나라하게 보여주며, 동시에 인공지능(AI)이 복잡하고 시간 소모적인 역분석 작업을 얼마나 효율적으로 수행할 수 있는지에 대한 중요한 통찰을 제공합니다. AI 기반 에이전트가 보안 분석가의 역량을 증폭시키고, 숨겨진 위협을 신속하게 밝혀내는 새로운 패러다임을 제시하고 있습니다.
### 수상한 활동 감지 및 초기 분석
저자는 AliExpress에서 구매한 35달러짜리 안드로이드 프로젝터를 Wi-Fi에 연결하자마자 Pi-hole에서 `o.fecebbbk.xyz`, `impression.appsflyer.com`, `usmyip.kkoip.com` 등 수상한 도메인으로의 DNS 쿼리가 발생하는 것을 발견했습니다. 이는 사용자가 아무런 조작을 하지 않았음에도 기기가 자체적으로 외부와 통신하고 있음을 의미했습니다. `adb`와 `jadx`를 이용한 초기 조사 결과, HTC와 관련 없는 `com.htc.` 패키지들과 `com.hotack.silentsdk` 같은 의심스러운 시스템 앱들이 확인되었습니다. 루트 권한을 확보하여 이들 패키지를 비활성화하자 수상한 DNS 쿼리가 중단되었고, 이는 이들이 멀웨어의 주범임을 확증했습니다.
### Claude Code를 활용한 심층 역분석
수동 역분석의 어려움을 인지한 저자는 AI 에이전트인 Claude Code에 `jadx`로 디컴파일된 APK 소스 코드를 제공하고, 멀웨어 분석 임무를 부여했습니다. Claude Code는 자율적으로 난독화된 XOR 암호화 문자열을 해독하는 파이썬 스크립트를 작성하여 수많은 C2 도메인, 페이로드 경로, 셸 명령어 등을 순식간에 밝혀냈습니다. 또한, 각 APK의 역할을 매핑하여 `com.hotack.silentsdk`가 원격 접근 트로이목마(RAT)임을 식별하고, `aodintech.com` 및 `triplesai.com` 인프라가 광고/추적 네트워크 및 취약한 OTA 업데이트 서버임을 파악했습니다. 특히, `silentsdk`는 시스템 권한으로 실행되며, 부팅 시 자동 실행되고, 네트워크 연결 시 C2 서버와 통신하는 등 강력한 영속성을 가지고 있었습니다.
### C2 프로토콜 분석 및 주거용 프록시 네트워크 연결
Claude Code는 `silentsdk`의 C2 프로토콜을 완벽하게 역분석했습니다. 이 멀웨어는 무작위 경로를 가진 URL을 통해 `api.pixelpioneerss.com`과 통신하며, 기기 지문 정보(UUID, IMEI 등)를 AES-128-CBC로 암호화하여 전송합니다. 놀랍게도 암호화 키가 평문으로 메시지에 포함되어 있어, 이는 보안보다는 정적 분석 회피를 위한 난독화 목적임이 드러났습니다. Claude Code는 이 프로토콜을 기반으로 직접 C2 클라이언트를 작성하여 실제 C2 서버와 통신하는 데 성공했습니다. C2 서버는 다음 단계 페이로드(`sta.smartinnovate.net`에서 다운로드)의 URL과 함께, 저자의 IP 주소와 지리적 위치를 포함한 응답을 보냈습니다. 이는 `usmyip.kkoip.com`이 Kookeey라는 중국 기반의 상업용 주거용 프록시 서비스와 연결되어 있음을 밝혀냈습니다. 즉, 프로젝터는 사용자의 네트워크를 Kookeey 고객에게 판매하는 프록시 노드로 전락하고 있었던 것입니다.
### 펌웨어 수준의 영속성과 제조사 멀웨어
분석은 여기서 그치지 않았습니다. Claude Code는 펌웨어 이미지를 분석하여 멀웨어가 공장 초기화 후에도 살아남도록 여러 수준에서 심어져 있음을 발견했습니다. `/system/bin/appsdisable` 스크립트는 Google Play Protect를 포함한 모든 Google Android 부팅 리시버를 비활성화하여 기기의 유일한 방어막을 무력화합니다. 또한, `/system/bin/preinstall` 스크립트는 특정 디렉터리에서 APK를 스캔하여 자동으로 설치하며, OTA 서비스(`com.htc.htcotaupdate`)는 C2 서버로부터 `com.hotack.silentsdk`를 다시 다운로드하여 재설치합니다. 더욱 충격적인 것은 커널이 'Hotack'이라는 이름으로 커스텀 빌드되었고, 이는 `com.hotack.silentsdk`의 개발사와 동일하다는 점입니다. 이는 단순한 서드파티 멀웨어가 아니라, 제조사가 직접 기기에 악성코드를 심어 판매하는 '제조사 멀웨어'임을 명확히 보여줍니다.
### AI 에이전트의 자율적 역할과 시사점
저자는 Claude Code에 초기 프롬프트와 디컴파일된 APK를 제공했을 뿐, 대부분의 역분석 과정은 AI가 자율적으로 수행했음을 강조합니다. Claude Code는 조사 순서를 결정하고, 자체 도구를 작성하며, 다단계 아키텍처를 식별하고, C2 프로토콜을 재구성하며, 심지어 C2 서버와 직접 통신하는 클라이언트를 개발했습니다. 이는 숙련된 인간 분석가가 며칠 걸릴 작업을 몇 시간 만에 완료할 수 있음을 의미합니다. 이 사례는 AI가 복잡한 사이버 보안 분석 작업에서 인간의 역량을 크게 증폭시킬 수 있는 잠재력을 보여주며, 동시에 저가형 IoT 기기 공급망의 심각한 보안 문제를 다시 한번 상기시킵니다.
### 가치와 인사이트
이 사례는 저가형 안드로이드 기반 IoT 기기들이 단순한 기능 불량을 넘어 심각한 보안 위협을 내포하고 있음을 명확히 보여줍니다. 특히, 제조사 수준에서 멀웨어를 사전 설치하고, 이를 통해 사용자 네트워크를 상업용 프록시 서비스에 활용하는 비즈니스 모델은 충격적입니다. 개발자 및 IT 독자들은 이러한 기기 구매 시 극도의 주의를 기울여야 하며, 기업 환경에서는 IoT 기기 도입 시 철저한 보안 검증 절차를 마련해야 합니다. 또한, AI 에이전트가 복잡한 역분석 작업을 자율적으로 수행하는 능력은 사이버 보안 분야의 패러다임 변화를 예고합니다. AI는 이제 단순한 보조 도구를 넘어, 위협 탐지 및 분석의 핵심 주체로 부상하고 있으며, 이는 보안 전문가들이 더 고차원적인 전략적 업무에 집중할 수 있도록 돕는 동시에, 새로운 보안 기술 개발의 필요성을 강조합니다.
### 기술·메타
- Android
- Malware Analysis
- Reverse Engineering
- Claude Code (AI Agent)
- Pi-hole
- ADB (Android Debug Bridge)
- JADX (Java Decompiler)
- Python
- AES-128-CBC
- DexClassLoader
- IoT Security
- Supply Chain Security
### 향후 전망
향후 저가형 IoT 기기 시장에서는 제조사 멀웨어와의 싸움이 더욱 치열해질 것으로 예상됩니다. 규제 당국과 소비자 보호 단체는 이러한 기기에 대한 감시를 강화하고, 제조사에 대한 책임을 물을 것입니다. 동시에, AI 기반 역분석 도구의 발전은 멀웨어 분석 속도와 정확도를 혁신적으로 향상시킬 것입니다. 이는 공격자들이 더욱 정교하고 난독화된 멀웨어를 개발하도록 자극할 것이며, AI를 활용한 공격과 방어의 '군비 경쟁'이 가속화될 것입니다. 오픈소스 커뮤니티와 보안 연구자들은 AI를 활용하여 더 많은 숨겨진 위협을 밝혀내고, 공급망 보안을 강화하기 위한 새로운 방법론을 모색할 것입니다. 궁극적으로는 IoT 기기의 설계 단계부터 보안을 내재화하는 '시큐어 바이 디자인(Secure by Design)' 원칙이 더욱 중요해질 것이며, AI는 이러한 보안 검증 과정에서도 핵심적인 역할을 수행하게 될 것입니다.
📝 원문 및 참고
- Source: Lobsters
- 토론(Lobsters): [lobste.rs](https://lobste.rs/s/b5hrqb/reverse_engineering_android_malware)
- 원문: [링크 열기](https://zanestjohn.com/blog/reing-with-claude-code)
---
출처: Lobsters · [원문 링크](https://zanestjohn.com/blog/reing-with-claude-code)
댓글 0
아직 댓글이 없습니다. 첫 댓글을 남겨 보세요.