크로코딜루스: 고급 안드로이드 악성 코드가 은행 앱을 원격 제어합니다

새로운 안드로이드 맬웨어인 ‘크로코딜루스’가 등장하여 사이버 보안 세계에 큰 파장을 일으키고 있습니다.

크로코딜루스는 가짜 지갑 백업 프롬프트를 조작하여 시드 구문을 훔치는 피해자를 조종합니다.

다른 모바일 뱅킹 위협들, 예를 들어 Anatsa와 Octo가 점진적으로 발전했다면, Crocodilus는 처음부터 고도로 정교한 위협이었습니다. 이 악성 소프트웨어는 ThreatFabric의 연구자들이 일상적인 검사를 하던 중 발견되었고, 그들은 이를 모바일 악성 소프트웨어에서의 중요한 진전으로 설명했습니다.

연구자들은 Crocodilus가 “디바이스 인수” 트로이 목마로 기능하며, 이는 공격자들이 멀리서 감염된 안드로이드 디바이스를 통제할 수 있다는 의미라고 말합니다.

이 악성 소프트웨어는 오버레이 공격, 키로깅, 심지어 안드로이드의 접근성 서비스를 이용하여 사용자 활동을 기록하는 등, 피해자의 정보를 빼앗는 다양한 기술을 가지고 있습니다. 이런 종류의 악성 소프트웨어는 주로 은행 및 암호화폐 계정 자격증명을 도용하는 데 사용됩니다.

피해자의 휴대폰에 설치된 후, 악성 소프트웨어는 휴대폰의 접근성 서비스에 대한 권한을 요청합니다. 그런 다음, 악성 소프트웨어는 원격 서버와 연결을 설정하여 추가 지시사항과 대상으로 삼을 앱 목록을 받습니다.

결과적으로, 이는 실제 은행 및 암호화폐 애플리케이션 위에 위치시킨 가짜 로그인 페이지인 오버레이를 개발하게 되어, 사용자의 로그인 정보를 도용하려는 목적이다. ThreatFabric은 이러한 공격이 주로 스페인과 터키에서 관찰되었지만, 이 악성 소프트웨어가 전 세계적으로 확산될 것으로 예상한다.

Crocodilus가 다른 악성 소프트웨어와 다른 점은 비밀번호에 국한되지 않은 정보를 수집할 수 있다는 것이다. 이 기능은 “접근성 로거(Accessibility Logger)”라고 불리며, Google Authenticator와 같은 애플리케이션에서 발생하는 OTP를 포함하여 휴대폰 화면에 표시되는 모든 것을 캡처한다.

이로 인해 공격자들이 거래를 보호하기 위해 필요한 OTP의 이름과 값을 포함한 민감한 정보를 획득할 수 있게 됩니다.

이 맬웨어에는 “숨겨진 모드”도 있습니다. 이 모드에서는 맬웨어가 장치 위에 검은색 화면 오버레이를 표시하여 공격자의 행동을 볼 수 없게 만듭니다. 또한 장치의 소리를 무음으로 설정하여 사기 거래가 눈에 띄지 않게 합니다. 연구자들은 이로 인해 피해자들이 자신의 장치가 침해당하고 있다는 것을 깨닫기 매우 어렵다고 말합니다.

크로코딜루스는 재무 앱뿐만 아니라 암호화폐 지갑과도 호환됩니다. 로그인 자격증명을 얻게 되면, 이 악성 소프트웨어는 사회 공학적 전략을 사용하여 피해자가 지갑의 시드 구문을 공개하도록 요청합니다.

예를 들어, 가짜 알림이 뜨면서 사용자에게 지갑 키를 다음 12시간 내에 백업하라고 알려주며, 그렇지 않으면 잠금 처리된다고 위협합니다. 피해자가 이 프롬프트를 따르면, 크로코딜루스는 시드 구문을 훔쳐 공격자에게 지갑의 열쇠를 전달하고, 그러면 공격자는 지갑을 비워버릴 수 있습니다.

처음 봤을 때, 이 악성 소프트웨어의 코드는 잘 알려진 터키어 사용 사이버 그룹과 연결되어 있는 것처럼 보이지만, 이 연결이 확실하게 확인되지는 않았습니다.

모바일 위협이 항상 증가하는 추세이므로, Crocodilus와 같은 악성 소프트웨어는 고도로 발전된 악성 소프트웨어가 어떤 것인지를 명확하게 보여줍니다. 이는 장치 점령 기능을 가지고 있으며, 고급 데이터 수집 도구로서 작동할 수 있고, 배경에서 작동하기 때문에 심각하게 대해야 할 위협입니다.

금융 기관과 암호화폐 플랫폼들은 이런 종류의 정교한 공격에 대응할 수 있도록 그들의 보안 조치를 개선해야 합니다.