안드로이드 악성코드의 발 빠른 진화 - 드로퍼·SMS 탈취·RAT 기능 결합한 ‘Wonderland’ 확산

by 이스트시큐리티 마케팅팀

 

 

안녕하세요, 이스트시큐리티입니다.

 

최근 안드로이드 악성코드 공격 양상이 단순한 정보 탈취 단계를 넘어, 원격 제어·자동 확산·실시간 금융 사기를 모두 수행하는 통합 공격 프레임워크 형태로 빠르게 진화하고 있습니다. 그 중심에 있는 대표적인 사례가 바로 ‘원더랜드(Wonderland)’ 악성코드입니다.

 

 

 

 

드로퍼 기반 위장 설치로 정상 앱처럼 보이는 것이 특징

---

 

보안 기업 Group-IB 분석에 따르면 Wonderland는 정상 앱으로 위장한 드로퍼(dropper)를 통해 최초 침투를 시도합니다. 기존처럼 설치 즉시 악성 행위를 수행하는 ‘노골적인 트로이목마 APK’가 아니라, 겉보기에는 정상 앱처럼 동작하다가 내부에 은닉된 악성 페이로드를 로컬 환경에서 실행하는 방식입니다.

 

이 구조는 네트워크 연결 없이도 악성코드 설치가 가능하며, 초기 보안 점검이나 정적 분석을 회피하는 데 매우 효과적입니다.

 

 

 

 

SMS 탈취 + 실시간 RAT 제어 결합 - 금융 사기 자동화

---

 

Wonderland는 단순 SMS 스틸러가 아닙니다. 양방향 C2(Command & Control) 통신을 통해 공격자가 실시간으로 명령을 내릴 수 있으며, 다음과 같은 기능을 수행합니다.

 

 

[이미지 출처] The HackerNews

 

• SMS 및 OTP(일회용 비밀번호) 가로채기
• USSD 명령 실행
• 연락처·전화번호 탈취
• 알림 숨김(보안·OTP 알림 차단)
• 감염 기기를 이용한 추가 SMS 발송(측면 확산)

 

 

 

이를 통해 공격자는 금융 인증 절차를 실시간으로 우회하며 자금을 탈취할 수 있고, 감염된 기기를 또 다른 공격 거점으로 활용할 수 있습니다.

 

 

 

 

텔레그램 기반 ‘무한 증식’ 구조로 계정 탈취 → 재유포

---

[이미지 출처] Group-IB

 

Wonderland 공격 조직(TrickyWonders)은 텔레그램을 핵심 인프라로 활용합니다. 악성 앱이 설치된 이후 사용자가 권한을 허용하면, 공격자는 해당 기기의 전화번호를 이용해 텔레그램 계정을 탈취하고, 해당 계정의 대화 목록·연락처를 대상으로 악성 APK를 재유포합니다.

 

이 과정이 반복되며 감염은 순환 구조(cyclical infection chain)로 확산되고, 실제로 다크웹에서는 탈취된 텔레그램 세션이 유통되며 공격에 활용되고 있는 것으로 확인됐습니다.

 

 

 

 

드로퍼·RAT·MaaS 결합 - 안드로이드 악성코드의 ‘플랫폼화’ 가속

---

 

Wonderland는 단일 사례가 아닙니다. 최근에는 Cellik, Frogblight, NexusRoute 등 기능이 고도화된 안드로이드 악성코드 패밀리들이 잇따라 등장하고 있습니다. 이들의 공통점은 다음과 같습니다.

 

• 드로퍼 기반 위장 설치 구조
• 실시간 화면 스트리밍, 키로깅, 카메라·마이크 접근
• OTP·결제 정보 탈취
• Malware-as-a-Service(MaaS) 형태의 서비스 모델

 

 

 

특히 Cellik의 경우, 공격자가 Google Play의 정상 앱을 선택해 악성 페이로드를 자동으로 결합하는 ‘원클릭 APK 빌더’ 기능까지 제공하고 있어, 기술력이 낮은 공격자도 대규모 공격을 손쉽게 실행할 수 있는 환경이 만들어지고 있습니다.

 

 

 

 

보안 전문가 경고 - '개별 공격에서 범죄 비즈니스로 전환'

---

 

보안 업계는 이러한 흐름이 단순한 공격 기법의 진화가 아니라, 안드로이드 해킹이 완전히 ‘플랫폼화된 범죄 비즈니스’로 전환됐음을 보여주는 신호라고 분석합니다.

 

드로퍼 기술과 실시간 RAT 기능의 결합은 기존의 정적 필터링·서명 기반 보안 체계를 무력화하며, 공격 인프라는 빠르게 교체되는 도메인과 빌드 단위 C2 구조로 운영돼 차단 또한 점점 어려워지고 있습니다.

 

 

 

 

사용자 주의사항: 설치 경로와 ‘접근성 권한’이 핵심

---

 

이와 같은 공격의 대부분은 사용자의 설정 변경과 권한 허용에서 시작됩니다. 특히 다음 사항에 각별한 주의가 필요합니다.

 

• 출처가 불분명한 APK 파일 설치 지양
• '업데이트 필요' 메시지를 통한 알 수 없는 앱 설치 요구 주의
• 접근성 서비스 권한을 요구하는 앱은 설치 즉시 점검
• 문자·메신저를 통한 앱 설치 링크 클릭 금지
• 보안 알림이 갑자기 사라지거나 OTP 문자가 보이지 않을 경우 즉시 점검

 

 

 

 

Wonderland를 비롯한 최신 안드로이드 악성코드는 더 이상 단순한 스팸이나 정보 탈취 수단이 아니라, 실시간 제어·확산·금융 사기를 동시에 수행하는 통합 공격 플랫폼으로 진화하고 있습니다. 이런 변화는 모바일 보안 역시 단편적인 대응이 아닌, 지속적인 위협 모니터링과 다계층 대응 체계로 전환이 필요함을 시사합니다.

 

 

 

🔎 Plus Tip! 모바일 보안, 이렇게 시작해보세요!

 

 

이스트시큐리티는 고도화되는 모바일 위협 환경에 대응하기 위해 최신 악성코드 동향을 지속적으로 분석하고, 사용자 보호를 위한 보안 기술 고도화를 이어가고 있습니다.

 

이러한 환경에서 알약 모바일 앱은 악성 앱 설치나 스미싱 메시지로 시작되는 위험 신호를 사전에 인지하고 점검할 수 있도록 돕는 기본적인 모바일 보안 관리 수단으로 활용할 수 있습니다. 일상적인 스마트폰 사용 중에도 작은 이상 징후를 놓치지 않고 확인하는 습관이 모바일 위협을 예방하는 첫 단계가 됩니다. 지금, 알약 모바일을 통해 내 스마트폰의 보안 상태를 간단하게 점검해 보시기 바랍니다.

 

 

 

 

 

 

 

 

---

 

[참고 출처]

• ​Group-IB, <Android malware campaigns in Uzbekistan – Wonderland/TrickyWonders> (2025-12-19)
• The Hacker News, <Android Malware Operations Merge Droppers, SMS Theft, and RAT Control>(2025-12-21)
• ImPreza Host, <From Trojan APKs to Stealthy Droppers: Wonderland Android Malware Evolves>​ (2025-12-21)
• Varutra / Tech, <Cellik Android Malware Turns Trusted Google Play Apps into Stealthy Trojanized Threats>​  (2025-12-17)