신종 악성코드 크로커다일러스 등장…암호화폐 지갑 노린 정교한 공격 확산

안드로이드 기반 스마트폰을 겨냥한 신종 악성코드 '크로커다일러스(Crocodilus)'가 암호화폐 지갑 정보 탈취를 목적으로 활동 중이라는 분석이 나왔다. 사이버보안 업체 스렛패브릭(Threat Fabric)에 따르면, 이 악성코드는 대상 앱이 실행될 경우 가짜 화면을 덧씌워 사용자 정보를 빼내는 방식으로 작동한다.

스렛패브릭은 최근 위협 보고서를 통해 크로커다일러스가 암호화폐 지갑 사용자들을 속이기 위해 '지갑 백업을 12시간 내 완료하지 않으면 초기화된다'는 경고 문구가 담긴 오버레이 화면을 띄운다고 밝혔다. 사용자가 지갑 설정 화면으로 이동해 시드 구문(seed phrase)을 확인하도록 유도하고, 이 정보를 악성코드가 기록하게끔 만드는 방식이다. 시드 구문이 탈취되면 지갑을 완전히 장악당한 상태가 되며, 저장된 암호화폐는 사실상 전부 도난당하게 된다.

이번에 발견된 크로커다일러스는 단순한 트로이목마가 아니라, 현대적인 *뱅킹 악성코드* 수준의 기능을 탑재한 고도 위협 요소로 평가된다. 오버레이 공격은 물론, 비밀번호처럼 민감한 정보에 대한 데이터 수집, 화면 캡처, 원격 제어 기능도 포함하고 있다. 초기 감염 경로는 대부분 악성 앱 설치 과정에서 발생하며, 구글 안드로이드 13의 보안 프로토콜을 우회할 수 있는 것으로 파악됐다.

감염된 기기에서는 사용자의 접근성을 요구하는 권한이 자동으로 활성화되며, 이로써 원격 조작이 가능해진다. 크로커다일러스는 C2(Command and Control) 서버와 통신해, 공격 대상 금융이나 암호화폐 앱 목록을 받아오고 각 앱에 맞는 오버레이 화면을 즉각 실행시킬 수 있다. 이후 백그라운드에서 실행되며, 타깃 앱이 여는 순간 가짜 로그인 창을 띄우고 소리도 차단해 사용자가 기기 통제를 탈취당하고 있음을 인식하지 못하게 만든다.

스렛패브릭에 따르면 피해 사례는 현재 튀르키예와 스페인에서 집중적으로 발생하고 있으며, 공격의 범위는 앞으로 더 넓어질 가능성이 높다. 악성코드 내 텍스트 주석을 분석한 결과, 개발자가 튀르키예어를 사용하는 인물일 가능성도 제기됐다. 또 다른 가능성으로는 사이브라(Sybra) 혹은 해당 악성코드를 테스트 중인 신흥 해커 그룹이 배후에 있을 수 있다는 분석도 함께 나왔다.

전문가들은 크로커다일러스의 등장으로 암호화폐 사용 환경이 한층 위험해졌다고 경고한다. 특히 사회공학적 기법을 악용한 정보 탈취와 실시간 원격 침입이 가능하다는 점에서, "단순한 악성코드를 넘어선 신종 위협"이라는 평가가 나온다. 스렛패브릭은 "이번 트로이목마는 초기 버전임에도 불구하고 비정상적으로 높은 완성도를 보여주고 있다"며 경계를 당부했다.

안드로이드 사용자들은 앱 설치 전 출처를 반드시 확인하고, 접근성 권한 허용에 각별히 주의해야 한다. 또한 암호화폐 지갑의 시드 구문은 절대 디지털 기기에 보관하거나 입력하지 말아야 한다는 기본 수칙이 다시금 강조되고 있다.