- RedWing은 텔레그램에서 월정액으로 임대되는 안드로이드 뱅킹 전용 Malware-as-a-Service임
- Zimperium zLabs 분석에 따르면 기존 Oblivion 변종으로 보이며 감염 시 스마트폰 원격 제어가 가능함
- 뱅킹 로그인 자격 증명과 OTP 일회용 인증번호까지 탈취해 모바일 금융 사기 인프라의 상용화가 가속되고 있음
렌탈형 악성코드 생태계는 범죄 진입 장벽을 낮추고 피해자 범위를 일반 사용자와 금융 기업 전반으로 확산시키고 있다.
들어가며 모바일 뱅킹 범죄의 상용화 흐름
안드로이드 스마트폰을 겨냥한 뱅킹 악성코드는 더 이상 소수의 고급 공격자만의 전유물이 아니다. 2026년 7월 7일자로 공개된 분석 보고서에 따르면 보안업체 Zimperium zLabs는 텔레그램 채널을 통해 렌탈 형태로 운영되는 신규 모바일 뱅킹 악성코드 RedWing을 추적하고 있다고 밝혔다. 이 사례는 모바일 금융 사기가 MaaS(Malware-as-a-Service) 모델로 빠르게 상품화되고 있음을 다시 한번 보여준다.
RedWing MaaS 개요 텔레그램으로 빌려 쓰는 안드로이드 뱅킹 악성코드
Zimperium zLabs가 추적한 위협 정보
RedWing은 안드로이드 환경을 노리는 뱅킹 트로이목마로 텔레그램 기반 채널을 통해 Malware-as-a-Service 형태로 임대 운영된다. zLabs는 운영자가 텔레그램 그룹을 빌어 가입자에게 악성 APK와 관리 콘솔을 배포하는 구조를 확인한 것으로 분석했다. 위협 정보 보고서에는 운영 인터페이스와 감염 샘플이 함께 포함돼 있어 실제 임대 거래가 이뤄지고 있음이 드러났다.
Oblivion 변종으로 추정되는 코드 계보
zLabs는 RedWing의 코드 구조와 통신 패턴을 분석한 결과 기존에 알려진 Oblivion 계열 안드로이드 뱅킹 악성코드의 새로운 변종으로 보고 있다. Oblivion은 과거부터 월 300달러 임대 가격대의 렌탈 악성코드 도구로 언급되어 왔으며 RedWing도 유사한 가격대와 운영 방식을 공유하는 것으로 파악된다. 다만 동일 프로젝트의 리브랜딩인지 후속 변종인지는 추가 분석이 필요하다. 필요한 것으로 보인다.
RedWing의 공격 메커니즘과 피해 시나리오
안드로이드 스마트폰 원격 제어 방식
감염이 완료되면 공격자는 피해자의 안드로이드 스마트폰을 원격으로 제어할 수 있다. 악성 앱은 접근성 서비스를 악용해 화면 잠금 해제, UI 조작, 키 입력 이벤트 캡처 등을 수행하는 것으로 분석되었다. 이를 통해 사용자가 인지하지 못하는 상태에서 뱅킹 앱을 강제로 실행하고 거래를 시도하는 것이 가능하다.
뱅킹 로그인 정보와 OTP 일회용 인증번호 탈취 흐름
RedWing의 가장 큰 위협은 자격 증명 탈취와 OTP 우회다. 악성코드는 뱅킹 앱 로그인 시 입력되는 아이디와 비밀번호를 가로채고 SMS 기반 일회용 인증번호까지 캡처한다. 결과적으로 공격자는 정상 사용자의 세션을 그대로 빼앗아 이체와 결제 기능을 무력화할 수 있다. 아래 표는 RedWing의 핵심 기능을 정리한 것이다.
| 구분 | 세부 기능 | 위험도 |
|---|---|---|
| 원격 제어 | 접근성 서비스 악용 UI 조작 및 잠금 해제 | 상 |
| 자격 증명 탈취 | 뱅킹 앱 로그인 정보 실시간 가로채기 | 상 |
| OTP 캡처 | SMS 일회용 인증번호 및 푸시 알림 가로채기 | 상 |
| 배포 채널 | 텔레그램 그룹을 통한 APK 및 콘솔 임대 | 중 |
| 가격 모델 | 월 300달러대 렌탈 과금 | 중 |
MaaS 생태계가 모바일 금융 사기에 주는 시사점
월 300달러대 렌탈 가격대로 추측되는 범죄 진입 장벽 하락
RedWing과 같은 렌탈형 악성코드는 전문 개발 지식이 없는 공격자도 일정 금액을 지불하면 즉시 금융 사기 인프라를 확보할 수 있도록 한다. 텔레그램이라는 익명성 높은 메신저가 거래 창구 역할을 하면서 운영자와 이용자 간의 연결 비용이 극단적으로 낮아졌다. 결과적으로 범죄의 기술적 진입 장벽이 사실상 사라졌다고 볼 수 있다.
BEC 사례로 확산 가능성
단순히 개인 뱅킹 계정을 노리는 단계를 넘어 기업 임직원의 모바일 기기를 감염시켜 내부 결재와 자금 이체를 우회하는 BEC(Business Email Compromise) 사례로 확산될 가능성도 제기된다. zLabs는 향후 RedWing 계열이 기업 금융 환경까지 노리는 방향으로 진화할 것으로 분석했다. 모바일 단말이 업무용 2차 인증 수단으로 활용되는 만큼 공격 표면이 기업 쪽으로도 넓어질 수 있다.
대응 권고
개인 사용자 보안 수칙
개별 사용자는 우선 공식 스토어 외 경로에서 내려받은 APK 설치를 차단해야 한다. 접근성 서비스 권한은 꼭 필요한 앱에만 허용하고 뱅킹 앱이 활성화될 때 추가 인증 절차를 요구하도록 설정하는 것이 안전하다. 또한 OTP 문자 메시지가 외부 앱에서 자동读取되지 않도록 SMS 권한을 점검해야 한다.
금융 기업 보안팀 대응 과제
금융 기업은 모바일 환경에서의 비정상 접근성 서비스 활성화와 SMS 자동 읽기 패턴을 탐지하는 행위 기반 룰을 강화해야 한다. zLabs와 같은 모바일 위협 인텔리전스를 구독해 RedWing 계열 IOC를 MDM 정책에 반영하고 거래 직전 사용자 재인증 단계를 추가하는 방안이 권고된다. 더 나아가서는 단말 위협 탐지 솔루션을 자사 앱에 탑재해 감염 여부를 즉시 차단하는 전략도 검토할 만하다.
마무리 RedWing 위협을 통해 다시 보는 모바일 보안 기본기
RedWing 사례는 텔레그램 기반 MaaS가 모바일 뱅킹 범죄의 새로운 표준으로 자리 잡고 있음을 보여준다. 월 300달러라는 저렴한 임대 비용 한 줄이 수많은 사용자의 금융 자산을 위협할 수 있다는 점에서 보안은 더 이상 단말 안팎의 기본기에서 출발해야 한다. 출처가 불분명한 설치 파일 차단과 권한 점검 그리고 보안팀의 행위 기반 탐지 고도화가 RedWing 같은 렌탈형 위협을 막는 첫 번째防线이다.
핵심 정리
- RedWing은 텔레그램으로 임대되는 안드로이드 뱅킹 전용 MaaS로 상품화된 모바일 금융 위협이다.
- 자격 증명과 OTP를 동시 탈취해 정상 세션을 가로채는 방식이 가장 큰 위험 요소로 분석된다.
- 월 300달러대 낮은 임대 가격이 범죄 진입 장벽을 낮춰 개인과 기업 모두의 대비가 요구된다.
- 공식 스토어 외 설치 차단과 접근성 및 SMS 권한 관리가 사용자 측의 기본 대응 수칙이다.
- 금융 기업은 모바일 행위 기반 탐지와 재인증 단계 강화를 통해 렌탈형 악성코드 위협에 선제 대응해야 한다.