RedHook 안드로이드 악성코드의 무선 ADB 악용, USB 없이 셸 권한 탈취하는 신종 공격 기법 분석

핵심 요약

  • RedHook 신변종이 Android Wireless Debugging(무선 ADB)을 악용해 USB 연결 없이 셸 레벨 권한을 획득한다.
  • Group-IB가 기존 유선 ADB 기반 공격과 구분되는 새로운 무선 공격 흐름을 식별했다.
  • 동일 네트워크상 무선 ADB 활성화 시 인증 없는 접근이 가능해 모바일 위협 환경이 변화하고 있다.

무선 디버깅은 개발 편의를 위한 기능이지만, 동일한 네트워크 안에서는 그대로 셸 권한 노출로 이어질 수 있다는 점이 가장 큰 위험 요소다.

보안 매체 Bleeping Computer는 2026년 7월 12일, 모바일 악성코드 RedHook가 USB 케이블 없이 무선으로 안드로이드 기기의 셸 권한을 탈취하는 신변종을 확인했다고 보도했다. 이번 변종은 기존에 알려진 유선 ADB 기반 공격과 달리 동일 네트워크 내 무선 ADB 채널을 적극 활용하는 것이 특징이다. Group-IB 분석 결과에 따르면 공격자는 인증 절차가 충분히 검증되지 않는 무선 디버깅 환경을 통해 모바일 기기를 장악할 수 있는 것으로 나타났다.

개요 – RedHook 악성코드 신변종 등장 배경

RedHook는 안드로이드 환경을 겨냥한 모바일 악성코드군으로, 개발자용 ADB 디버깅 채널을 통한 셸 접근 시도로 꾸준히 알려져 왔다. 이번에 Group-IB가 포착한 신변종은 무선 ADB를 핵심 침투 경로로 채택했다는 점에서 이전 버전과 명백히 구분된다. 공격자는 피해자의 기기에 악성 앱을 설치하도록 유도한 뒤, 무선 ADB 포트를 활성화하고 원격 명령을 전송해 셸 레벨 제어권을 확보하는 흐름을 구성한 것으로 분석된다.

핵심 기술 – 무선 ADB 악용 메커니즘

무선 ADB는 안드로이드 11부터 도입된 Wireless Debugging 기능의 연결 인터페이스다. USB 데이터 케이블 없이 동일 네트워크의 디바이스와 페어링 코드를 교환해 셸에 접근할 수 있게 해주며, 개발 단계에서는 매우 유용하지만 운영 환경에서는 위험 요소로 작용한다.

Wireless Debugging 기능 이해

Wireless Debugging은 ADB 연결을 Wi-Fi 기반으로 확장한 기능으로, 페어링 후 동일 네트워크 어디서나 기기를 제어할 수 있다는 장점이 있다. 다만 일단 활성화되고 페어링 정보가 노출되면, 공격자가 별도의 인증 없이도 동일한 네트워크 안에서 셸 세션을 열 수 있는 경로가 만들어진다.

컴퓨터 연결 없는 셸 권한 탈취 흐름

Group-IB의 분석에 따르면 이번 RedHook 신변종은 다음과 같은 흐름으로 동작하는 것으로 보고된다.

  • 1단계: 사회공학 또는 사이드로딩을 통해 악성 앱 설치 유도
  • 2단계: 앱이 사용자 몰래 무선 ADB 활성화 옵션을 켜고 포트를 개방
  • 3단계: 동일 네트워크의 공격자 단말이 페어링 절차 없이 또는 최소한의 검증만 거쳐 접속
  • 4단계: 셸 명령 실행으로 추가 페이로드 설치, 데이터 유출, 권한 상승 시도

연구 분석 – Group-IB의 발견과 특징

이번 분석을 수행한 Group-IB는 RedHook가 기존 유선 ADB 기반 버전과 구분되는 다음과 같은 특징을 보였다고 설명했다.

구분 기존 RedHook 변종 무선 ADB 기반 신변종
연결 방식 USB 케이블 기반 ADB 동일 네트워크의 무선 ADB
침투 조건 물리적 접근 또는 USB 디버깅 허용 무선 디버깅 활성화만으로 가능
위협 반경 기기 근처에서 제한적 네트워크 공유 시 원격 가능
탐지 난이도 USB 트래픽 및 로그 기반 비교적 용이 정상 개발 활동과 구분이 어려움

특히 Group-IB는 무선 ADB가 활성화된 상태에서는 공격자가 물리적 USB 연결 없이도 셸을 확보할 수 있어, 위협 모델이 네트워크 침투 측면으로 확장되었다고 평가했다. 동일 Wi-Fi, 호텔 네트워크, 공용 핫스팟과 같은 환경이 모두 잠재적 진입점이 될 수 있다는 점에서 위험성이 커진 것으로 분석된다.

보안 위협 함의와 대응 방안

이번 RedHook 변종은 모바일 보안의 대응 범위가 기기 자체뿐 아니라 주변 네트워크 환경까지 함께 고려되어야 함을 시사한다. 사용자 수준과 기업 수준으로 구분해 권고 사항을 정리한다.

일반 사용자 권고사항

  • 설정 – 개발자 옵션에서 무선 디버깅(Wireless Debugging)을 항상 비활성화 상태로 유지한다.
  • 앱 설치 – 출처가 확인되지 않은 APK 파일, 사이드로딩 안내가 포함된 메시지나 링크는 실행하지 않는다.
  • 네트워크 – 공용 Wi-Fi 사용 시에는 VPN을 함께 사용하고 불필요한 디버깅 기능은 끈다.
  • 모니터링 – 배터리 소모, 알 수 없는 프로세스, 평소와 다른 데이터 트래픽 증가를 주기적으로 확인한다.

기업 모바일 디바이스 관리 관점

  • MDM 정책 – 직원의 업무용 단말에서 개발자 옵션과 무선 디버깅을 기본 차단하는 정책을 적용한다.
  • 네트워크 분리 – 업무 네트워크에서 무선 ADB 트래픽을 차단하거나 모니터링하는 제어를 도입한다.
  • EDR 연계 – 모바일 EDR 솔루션에 무선 ADB 활성화 이벤트와 비정상 셸 호출 패턴을 탐지 규칙으로 추가한다.
  • 사용자 교육 – 사이드로딩과 개발자 옵션의 보안 위험성을 정기적으로 교육한다.

결론 및 전망

RedHook의 무선 ADB 악용 사례는 모바일 악성코드가 물리적 접근이 아닌 네트워크 침투 형태로 빠르게 진화하고 있음을 보여준다. 무선 디버깅 기능 자체는 개발 생산성을 위한 합법적 도구이지만, 공격자에게도 동일한 경로를 제공한다는 점에서 보안과 생산성 사이의 균형이 다시 한번 중요한 과제로 부상했다. 향후 유사 변종이 등장할 가능성을 고려할 때, 사용자 단말의 설정 점검과 기업의 정책적 통제가 동시에 이루어져야 모바일 위협 환경에 효과적으로 대응할 수 있을 것으로 판단된다.

핵심 포인트 정리

  • RedHook는 무선 ADB를 통해 USB 없이 셸 권한을 탈취하는 신종 공격 흐름을 도입했다.
  • Group-IB 분석 결과 동일 네트워크 내 무선 디버깅 활성화가 곧 셸 노출 위험으로 이어진다.
  • 개인 사용자는 무선 디버깅 비활성화와 사이드로딩 자제가 1차 방어선이다.
  • 기업은 MDM 정책과 네트워크 차단을 통해 개발자 옵션 노출을 통제해야 한다.
  • 모바일 위협의 침투 반경이 물리적 접근에서 네트워크 중심으로 이동하고 있다.

참고 자료:

#RedHook #Android #WirelessADB #악성코드 #셸접근 #GroupIB #모바일보안 #디버깅악용 #모바일위협 #사이버보안 #무선디버깅 #안드로이드취약점 #악성앱 #정보보안

댓글 남기기