네 가지 안드로이드 악성코드 계열이 800개가 넘는 은행, 암호화폐, 소셜 미디어 앱에서 조용히 자격 증명을 빨아들이고 있지만, 탐지율은 거의 제로에 가깝다.
Zimperium이 식별한 네 가지 트로이목마 계열
사이버보안 기업 Zimperium은 zLabs 팀이 RecruitRat, SaferRat, Astrinox, Massiv라는 이름의 네 가지 병렬 캠페인을 추적해왔다고 밝혔다.
각각은 별도의 C2(명령·제어) 프레임워크에서 작동하며, 금융·암호화폐·소셜 미디어 영역의 800개가 넘는 앱을 겨냥한다.
Hackread는 이 악성코드 계열이 구조적 APK 변조와 런타임 복호화를 통해 시그니처 기반 스캐너를 피해간다고 보도했다. SaferRat는 가짜 스트리밍 제안을 미끼로 삼고, RecruitRat는 구직자를 노린 허위 채용 사이트로 사용자를 유인한다.
설치가 완료되면, 트로이목마는 접근성 권한을 요구하고, 앱 서랍에서 사라지기 위해 빈 아이콘을 떨어뜨린 뒤, 가짜 잠금 화면을 통해 PIN을 가로챈다.
Also Read: Quantum Threat To Bitcoin Vastly Overblown, Checkonchain Founder Argues
오버레이 공격과 암호화폐 지갑 위험
Zimperium 제품 전략 부사장 Krishna Vishnubhotla는 공격자들이 이제 단순 자격 증명만이 아니라 기기 자체를 장악하고 있다고 TechRepublic에 설명했다.
악성코드는 피해자가 은행 또는 암호화폐 앱을 실행할 때까지 기다렸다가, 실제 화면 위에 가짜 로그인 페이지를 덮어씌운다. 탈취된 비밀번호는 곧바로 공격자에게 전송된다.
Massiv는 국가별로 매핑된 78개 은행 앱과 암호화폐 지갑을 표적으로 삼는다. RecruitRat는 서버에서 전달되는 HTML 오버레이를 사용해 700개가 넘는 앱을 덮어씌운다.
모바일 사기는 2025년을 거쳐 2026년까지 계속 증가하는 추세다. FBI의 최신 범죄 보고서는 암호화폐 관련 사기에서 기록적인 손실을 집계했으며, 안드로이드에서의 피싱과 자격 증명 탈취가 주요 진입 지점으로 지목됐다.
Read Next: 66.5% Of Bitcoin Sits With Long-Term Holders, Yet The Cycle Looks Stuck