사이버 보안 회사 Threat Fabric의 최근 보고서에 따르면, 사용자 기기를 제어하여 암호화폐 지갑을 완전히 비울 수 있는 새로운 모바일 멀웨어 '크로코딜루스'가 공개되었습니다.
Threat Fabric 분석가들은 3월 28일 보고서에서, 크로코딜루스가 화면 오버레이를 통해 사용자를 속여 지정된 마감일까지 암호화폐 지갑 키를 백업하도록 유도하여, 사용자가 암호를 제공하면 "12시간 내 설정에서 지갑 키를 백업하십시오.
그렇지 않으면 앱이 재설정되어 지갑에 접근할 수 없습니다."라는 경고를 표시한다고 자세히 설명했습니다. 이 소셜 엔지니어링 전술은 사용자를 원본 문구 지갑 키로 유도하여 멀웨어가 접근성 로거를 통해 중요한 정보를 확보하게 만듭니다.
시드 문구가 확보되면, 공격자는 지갑을 완전히 제어할 수 있습니다. 최신 은행 멀웨어와 같은 고급 기능을 보여주는 크로코딜루스는 오버레이 공격, 화면 캡처를 통한 정교한 데이터 수집 및 원격 기기 제어를 포함합니다.
Threat Fabric은 초기에 감염이 다른 소프트웨어와 함께 멀웨어를 다운로드하면서 우연히 발생한다고 지적하며, 이는 안드로이드 13 보안 보호를 효과적으로 우회합니다.
설치 후, 크로코딜루스는 사용자가 접근성 서비스를 활성화하도록 유도하여 해커의 접근을 용이하게 합니다. 접근을 확보한 후, 멀웨어는 명령 및 제어 서버와 연결하여 지시를 받고, 목표 애플리케이션 및 해당 오버레이 목록을 수신합니다.
크로코딜루스는 지속적으로 실행되며, 애플리케이션 활동을 모니터링하고, 오버레이를 배포하여 사용자의 인증 정보를 가로챕니다. 목표 은행 또는 암호화폐 애플리케이션이 열리면, 가짜 오버레이가 합법적인 활동을 숨겨 해커가 제어하고 작동 중 소리를 음소거합니다.
도난된 개인 정보 및 인증 정보로 공격자는 원격에서 사기 거래를 수행할 수 있어 탐지가 어렵습니다.
Threat Fabric의 모바일 위협 인텔리전스 팀은 현재 이 멀웨어가 터키와 스페인 사용자를 대상으로 하고 있으며, 앞으로 더욱 광범위한 유포가 예상된다고 밝혔습니다. 코드 주석에 터키어가 사용된 점을 통해 개발자는 Sybra라는 위협 행위자일 가능성이 있는 등 새로운 소프트웨어를 실험하는 다른 해커일 수 있다고 추측됩니다.
크로코딜루스 모바일 뱅킹 트로이 목마의 출현은 현대 멀웨어의 복잡성과 위험 수준의 상당한 도약을 나타내며, 기기 장악, 원격 제어, 블랙 오버레이 공격 적용 능력은 새로 발견된 위협에서 보기 드문 성숙도를 나타낸다고 결론 내립니다.