사전 탑재된 악성코드를 이용해 암호화폐를 탈취하는 가짜 안드로이드 스마트폰이 러시아를 비롯한 여러 국가에 유통되고 있는 것으로 드러났다.
보안업체 카스퍼스키(Kaspersky)는 1일 공식 성명을 통해 Triada 트로이 목마가 사전 설치된 위조 안드로이드 폰이 온라인을 통해 저가에 판매되고 있으며, 해당 기기를 통해 이미 2,600건 이상의 감염 사례가 확인됐다고 밝혔다. 특히 감염 사례는 2025년 1분기 동안 러시아에서 집중적으로 발생했다.
Triada는 안드로이드 운영체제의 거의 모든 프로세스를 장악할 수 있도록 설계된 고도화된 악성코드로, 공격자에게 스마트폰에 대한 사실상 무제한 권한을 부여한다. 카스퍼스키의 사이버보안 전문가 드미트리 칼리닌(Dmitry Kalinin)은 "이 트로이 목마를 활용한 공격자들은 암호화폐 지갑 주소를 위조해 송금을 유도하거나, 송수신된 문자 메시지를 탈취하는 방식으로 암호자산을 탈취하고 있다"고 설명했다.
특히 이번에 발견된 일부 사례에서는 이들이 전송한 자금 규모가 약 27만 달러(약 3억 9,400만 원)에 달한다고 분석됐다. 칼리닌은 "익명성을 중시하는 모네로(Monero)에 대한 공격도 병행됐기 때문에 실제 탈취된 암호화폐의 총액은 이보다 많을 가능성이 높다"고 강조했다.
Triada 악성코드는 처음부터 제조 단계 혹은 유통망 일부에서 스마트폰 펌웨어에 심어진 것으로 추정되며, 소비자 입장에서는 초기 전원을 켠 순간부터 이미 감염된 상태일 수 있다. 일부 판매자도 자신이 판매하고 있는 기기가 악성코드에 감염됐다는 사실조차 인지하지 못하고 있는 상황이라는 것이 카스퍼스키의 지적이다.
Triada는 2016년에 처음 보고된 이후 금융 앱과 메신저 앱을 정조준하며 진화해왔다. 특히 페이스북, 왓츠앱, 지메일 같은 주요 애플리케이션을 대상으로 한 감시 및 정보 탈취가 쉬운 구조를 갖고 있어 보안업계에서는 가장 위협적인 모바일 악성코드 중 하나로 분류한다.
칼리닌은 "Triada 트로이 목마는 수년이 흘렀지만 여전히 안드로이드 생태계에서 가장 정교하고 위험한 위협"이라고 경고하며, 사용자들에게는 반드시 공식 유통사를 통해 기기를 구매하고, 초기 사용 시점부터 보안 솔루션을 설치해 피해를 예방할 것을 당부했다.
한편 다른 보안업체들 또한 암호화폐 사용자를 겨냥한 새로운 형태의 악성코드를 지속적으로 경고하고 있다. 지난 3월 Threat Fabric은 사용자에게 시드 구문 입력을 유도하는 가짜 인터페이스를 생성하는 신종 안드로이드 악성코드를 발견했다고 밝혔고, 같은 달 마이크로소프트(MSFT)는 크롬 브라우저용 지갑 확장 프로그램을 노리는 원격 액세스 트로이 목마(RAT)가 유포되고 있다고 경고한 바 있다.