사회공학 기법 통한 안드로이드 암호화폐 지갑 노리는 크로코딜러스 악성코드 발견

최근 '크로코딜러스(Crocodilus)'라는 이름의 "매우 능숙한" 모바일 뱅킹 악성코드가 등장해 안드로이드 기기를 대상으로 사회공학적 수법을 통해 민감한 암호화폐 지갑 인증 정보를 탈취하고 있다.

31일(현지시간) 크립토뉴스에 따르면, 사이버보안 기업 쓰렛 패브릭(Threat Fabric)의 최근 연구에서 크로코딜러스라는 새로운 악성코드 계열의 등장이 발견됐다. 이 악성코드는 안드로이드 13 이상의 제한을 우회하는 독자적인 드로퍼를 통해 배포되는 것으로 알려졌다.

"새로운 악성코드임에도 불구하고, 이미 현대 뱅킹 악성코드의 모든 필수 기능을 포함하고 있다: 오버레이 공격, 키로깅, 원격 접근, 그리고 '숨겨진' 원격 제어 기능," 분석가들은 설명했다.

암호화폐 개인 키를 훔치기 위해 설계된 정교한 안드로이드 악성코드는 새로운 현상이 아니다. 2024년 10월, FBI는 북한 해커들과 연관된 유사한 악성코드인 스파이에이전트(SpyAgent)에 대한 경고를 발표한 바 있다.

그러나 쓰렛 패브릭이 엑스(X)에 게시한 바에 따르면, 새로운 모바일 뱅킹 트로이 목마인 크로코딜러스의 차별점은 "기기 탈취와 고급 인증 정보 도용"이다.

분석가들에 따르면, 크로코딜러스 악성코드는 현대적인 "기기 탈취 뱅킹 트로이 목마"와 유사한 작동 방식을 가지고 있다. 그들은 독자적인 드로퍼를 통한 초기 설치 이후, 악성코드는 "접근성 서비스"의 활성화를 요청한다고 덧붙였다.

인증 정보를 가로채기 위해 크로코딜러스는 오버레이 사용과 같은 지시를 받기 위해 명령 및 제어(C2) 서버에 연결한다.

모바일 위협 인텔리전스 팀에 따르면, 이 위협은 초기에 스페인과 터키에서 나타났으며, 여러 암호화폐 지갑을 표적으로 삼았다.

"악성코드가 진화함에 따라 이 범위가 전 세계적으로 확대될 것으로 예상한다"고 팀은 언급했다.

또한, 이 악성코드는 구글 인증기(Google Authenticator) 애플리케이션의 내용에 대한 화면 캡처를 트리거하는 RAT 명령을 사용하여 이중 인증(2FA)을 우회한다. 크로코딜러스는 구글 인증기 앱의 화면에 표시된 코드를 캡처하여 C2로 전송한다.

다른 트로이 목마와 달리, 크로코딜러스 오버레이는 피해자에게 지갑 키의 백업을 요청하며 암호화폐 지갑을 표적으로 삼는다.

"12시간 내에 설정에서 지갑 키를 백업하세요. 그렇지 않으면 앱이 초기화되고 지갑에 대한 접근 권한을 잃을 수 있습니다,"라고 오버레이 텍스트에 적혀 있다.

이 사회공학적 해킹은 피해자들이 시드 문구로 이동하도록 안내한다. 이로 인해 크로코딜러스는 접근성 로거를 사용하여 텍스트를 추출할 수 있다.

"이 정보를 통해 공격자는 지갑의 완전한 통제권을 장악하고 완전히 고갈시킬 수 있다"고 쓰렛 패브릭 분석가들은 말했다.