[보안뉴스 한세희 기자] 안드로이드 기기의 은행 앱과 암호화폐 앱 정보를 노리는 새로운 트로이목마가 발견됐다.

네덜란드 정보보호 기업 스레트파브릭은 원격 제어와 화면 오버레이, 소셜 엔지니어링 등 여러 기법을 결합한 새 트로이목마 ‘크로커딜러스’(Crocudilus)를 포착했다고 밝혔다.

크로커딜러스는 구글 크롬으로 위장한 드로퍼를 타고 안드로이드 13+ 보안 기능을 우회해 안드로이드 기기에 설치된다. 설치 후엔 안드로이드의 접근성 서비스에 활성화 허가를 요청해 원격 서버와 접속된다. 이를 통해 기기에 설치된 금융 앱 목록과 로그인 인증 정보 탈취에 쓰일 HTML 오버레이 전달 등이 이뤄진다.

이 말웨어는 상시 작동하며 앱 작동을 감시하고, 오버레이 화면을 띄운다. 피해자 기기 스크린의 모든 활동을 기록하고 구글 인증(Google Authenticator) 앱의 내용을 화면 캡처할 수 있다.


[자료: 스레트파브릭]

또 크로커딜러스는 기기에 설치된 암호화폐 지갑 앱의 로그인 정보도 탈취한다. 마치 사용자 암호화폐에 대한 공격이 있던 것처럼 “12시간 안에 암호화폐 복구를 위한 ‘시드 문구’(seed phrase)를 백업하라”는 경고를 띄운 후 놀란 사용자가 시드 문구를 입력하면 이를 가로챈다.

입력된 정보는 접근성 서비스를 악용해 공격자에게 넘어가 기기 통제권을 빼앗기게 된다. 가짜 로그인 페이지를 만드는 대신 사용자가 직접 민감 정보를 입력하게 하는 것이다.

마치 기기가 작동하지 않는 것처럼 검은 화면을 오버레이로 띄우고 소리도 죽여 사용자가 말웨어 작동을 인지하지 못하게 하는 기법도 사용했다.

쓰레트파브릭은 “크로커딜러스는 초기 단계 말웨어지만 이미 발달된 기기 제어권 획득, 원격 제어, 검은 화면 오버레이 공격 등 높은 수준의 성능을 보여준다”며 “최근 나오는 말웨어의 정교함과 높은 위험성을 잘 보여주는 사례”라고 밝혔다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>