암호화폐 지갑 노리는 신종 안드로이드 악성코드 등장

신종 안드로이드 악성코드 '크로커다일루스' (출처: @ThreatFabric, X)

신종 악성코드 ‘크로커다일루스(Crocodilus)’가 안드로이드 사용자를 노리고 빠르게 퍼지고 있다. 이 악성코드는 사용자에게 가짜 알림 화면을 띄워 시드 문구를 유도한 뒤, 스마트폰을 원격으로 조작해 암호화폐 지갑을 통째로 탈취하는 방식으로 작동한다.

사이버보안 기업 스렛패브릭(Threat Fabric)은 28일(현지시간) 보고서를 통해 이 악성코드가 안드로이드 기기에 몰래 설치된 뒤, 암호화폐 지갑이나 금융 앱이 실행되면 화면 위에 가짜 창을 덮어씌운다고 밝혔다. 해당 창은 "12시간 안에 지갑 키를 백업하지 않으면 초기화된다"는 경고 문구로 사용자를 속이고, 자연스럽게 시드 문구에 접근하도록 유도한다.

이 문구가 입력되는 순간 크로커다일루스는 접근성 권한을 이용해 내용을 그대로 가로채고, 이후 원격 접속으로 기기를 완전히 장악한다. 해커는 이렇게 확보한 정보를 바탕으로 지갑을 비우고, 사용자의 인증 정보나 기타 민감한 데이터까지 탈취할 수 있다.

스렛패브릭은 “이 악성코드는 단순히 정보를 훔치는 수준이 아니라, 마치 원격에서 스마트폰을 조종하듯 작동한다”며 “일단 감염되면 화면 캡처, 음소거, 앱 위장 실행 등 다양한 방식으로 피해를 유도한다”고 설명했다. 특히 크로커다일루스는 설치 즉시 명령제어(C2) 서버에 접속해 타깃 앱 목록과 공격 지시를 받고, 대상 앱이 열리면 자동으로 공격을 시작한다.

현재까지는 터키와 스페인에서 주로 활동 중인 것으로 파악됐지만, 보안업계는 조만간 다른 국가로도 확산될 가능성이 높다고 보고 있다. 악성코드 내에 터키어가 포함된 점을 들어, 개발자가 터키 기반일 가능성도 제기됐다. ‘Sybra’라는 이름의 해커가 테스트 중일 수 있다는 추정도 나왔다.

스렛패브릭은 “크로커다일루스는 이제 막 등장한 악성코드임에도 불구하고 이미 상당히 정교하게 설계돼 있다”며 “출시 초기부터 원격 제어, 오버레이 위장, 실시간 정보 수집 등 고급 기능을 모두 갖춘 위협적인 존재”라고 평가했다.

암호화폐 지갑을 사용하는 안드로이드 이용자들은 공식 앱스토어 이외의 경로에서 앱을 설치하지 말고, 접근성 권한 요청에는 특히 주의해야 한다. 작은 클릭 하나로 지갑 전체가 탈취당할 수 있는 상황이 현실로 다가오고 있다.