Reference
Contents
- Crocodilus는 새로 발견된 안드로이드 기반의 모바일 뱅킹 악성코드로, 사용자에게 암호화폐 지갑의 시드 구문(seed phrase)을 백업하라는 경고창을 띄워 정보를 탈취한다.
- 악성코드는 사회공학 기법을 사용하여 사용자가 직접 보안 정보를 노출하게 유도하며, 이는 기존 악성코드보다 더 정교한 방식이다.
- 접근성 서비스(Accessibility Service)를 악용하여 화면 탐색, 앱 실행 감지, 사용자 동작 감시 등 다양한 권한을 획득한다.
- 자체 드로퍼를 통해 Android 13 이상의 보안 기능과 Play Protect를 우회하며, 설치 시 사용자에게 탐지되지 않도록 설계되었다.
- 감염 시 사용자가 실행하는 암호화폐 또는 은행 앱 위에 가짜 오버레이 화면을 띄워 계정 정보를 탈취한다.
- 봇 기능은 총 23개의 명령을 수행할 수 있으며, 예를 들어 화면 잠금, 푸시 알림 생성, 통화 착신 전환, SMS 전송, etc.이 포함된다.
- Google Authenticator에서 OTP 코드를 캡처하는 기능도 있어 2단계 인증조차 무력화 가능하다.
- 공격 대상은 현재 터키와 스페인으로 확인되며, 악성 앱은 보통 가짜 프로모션, SMS, 제3자 앱 마켓을 통해 유포된다.
- 사용자 몰래 작동하기 위해 검은 화면을 띄우고 음소거 처리를 해 활동을 은폐한다.
- 사회공학적 유도 + 기술적 우회 + 원격 제어 기능이 결합된 이 악성코드는 기존 모바일 악성코드보다 위협 수준이 높다.
Discussion
Crocodilus는 단순한 코드 기반 위협을 넘어서 사용자의 심리를 악용하는 신종 위협이다. 기술적 방어뿐 아니라 사용자 교육과 접근성 서비스에 대한 보안 강화가 병행되어야 하며, 앞으로 더 많은 국가와 앱이 공격 대상이 될 수 있어 지속적인 모니터링이 요구된다.