사이버 보안 연구원들은 2015년부터 안드로이드 TV, eCos 디바이스, 셋톱박스를 타깃으로 공격해 온 대규모 사이버 범죄 조직인 빅판지(Bigpanzi)를 발견했다. 대규모 디도스 공격을 감행하는 이 공격 그룹은 전 세계적으로 최소 17만 대의 인드로이드 TV를 감염시켰다.

제로데이 취약점을 악용하는 일반적인 사이버 위협과 달리, 빅판지는 해적판 영화 및 TV 앱이나 숨겨진 백도어가 포함된 펌웨어 업데이트와 같이 무해해 보이는 경로를 통해 멀웨어를 은밀하게 배포했다. 사용자가 이러한 악성 애플리케이션을 무의식적으로 설치하면 디바이스는 빅판지의 좀비 봇넷이 되어버린다.

빅판지 작전의 핵심은 판도라스피어(Pandoraspear)로 알려진 백도어 트로이 목마다. 이 멀웨어는 디바이스에 침투해 DNS 설정을 탈취하고, 명령 및 제어(C2) 통신을 설정하고, C2 서버에서 수신한 명령을 실행한다. 이 멀웨어의 기능에는 DNS 설정 조작, 디도스 공격 시작, 자체 업데이트, 리버스 셸 생성, C2와의 통신 관리, 임의의 OS 명령 실행 등이 포함돼 있다.

판도라스피어는 탐지를 피하기 위해 수정된 UPX 셸, 동적 연결, OLLVM 컴파일, 안티디버깅 메커니즘과 같은 정교한 회피 기법을 사용한다. 또한, Pcdn을 사용하여 감염된 디바이스에 P2P(피어 투 피어) 콘텐츠 배포 네트워크(CDN)를 생성해 불법 미디어 스트리밍 콘텐츠를 배포하고 네트워크 트래픽을 프록시하며 디도스 공격을 실행하는 능력을 향상시킨다.

연구원들은 피크 시간대에 매일 약 17만 개의 봇이 활동하는 것을 확인했지만, 지난해 8월 이후 130만 개 이상의 IP 주소가 연결된 것으로 보아 실제 빅판지 봇넷의 규모는 더 클 것으로 보인다. 감염된 디바이스의 대부분은 브라질에 위치해 있다.

빅판지의 수익화 전략은 다양하며, 감염된 디바이스를 다양한 불법 활동에 악용하고 있다. 여기에는 불법 미디어 스트리밍 플랫폼의 노드 역할, 네트워크 트래픽 프록시, 디도스 스웜 참여, 오버더톱(OTT) 콘텐츠 제공 촉진 등이 포함된다.

8년 동안 은밀하게 활동해온 빅판지는 탐지와 감시를 피해 음지에서 부를 축적해 왔다. 연구진은 이번 조사 결과가 빅판지의 광범위한 네트워크의 빙산의 일각에 불과하다고 말한다.

사용자들은 신뢰할 수 없는 출처에서 앱이나 펌웨어 업데이트를 다운로드할 때 주의를 기울여야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★