암호화폐 백업 유도하는 사회공학 기법으로 사용자 속여
신종 안드로이드 악성코드 ‘크로커다일루스(Crocodilus)’가 사용자로부터 가상화폐 지갑의 시드키(seed phrase)를 탈취하는 정교한 방식으로 확산되고 있다. 보안업체 ThreatFabric에 따르면, 크로커다일루스는 새로운 형태의 뱅킹 악성코드로 분류되지만, 이미 완성된 수준의 기능을 갖추고 있으며 원격 제어, 데이터 수집, 앱 오버레이 공격 등 다양한 악성 행위를 수행할 수 있다.
크로커다일루스는 특히 가상화폐 지갑 사용자를 노린 사회공학적 기법이 주목된다. 사용자의 화면에 “12시간 이내에 지갑 키를 백업하지 않으면 접근 권한을 잃을 수 있다”는 가짜 경고창을 띄워, 설정 메뉴로 유도한 뒤 사용자가 시드키를 직접 열람하도록 만든다. 이때 악성코드는 접근성(Accessibility) 로그 기능을 통해 화면의 텍스트를 가로채 시드키를 수집한다. 시드키는 암호화폐 지갑을 복구하거나 자금을 인출하는 데 핵심적인 정보로, 공격자가 이를 입수하면 지갑의 모든 자산을 탈취할 수 있다.
악성코드는 일반적으로 안드로이드 보안 기능인 ‘플레이 프로텍트(Play Protect)’를 우회하고, 안드로이드 13 이상의 접근성 서비스 제한조차도 무력화하는 전용 드로퍼(dropper)를 통해 배포된다. 감염 경로는 아직 명확하지 않지만, 일반적으로 악성 웹사이트, 위장된 소셜미디어 광고, 스미싱(SMS 피싱), 서드파티 앱스토어를 통해 유포되는 것으로 추정된다.
크로커다일루스가 장악한 단말기는 공격자 서버로부터 23개 이상의 명령을 수신·실행할 수 있다. 이 명령에는 다음과 같은 고위험 기능이 포함된다.
△전화 착신 전환 설정 △특정 앱 실행 △푸시 알림 전송 △모든 연락처 또는 특정 번호로 SMS 전송 △수신 SMS 수집 △기기 관리자 권한 요청 △블랙 오버레이(화면 잠금처럼 위장) 활성화 △소리 켜기/끄기 △화면 잠금 △기본 SMS 앱으로 자신을 설정
특히 이 악성코드는 원격접근트로이목마(RAT) 기능도 내장하고 있어, 공격자가 직접 화면을 터치하거나 앱을 실행하고, UI를 탐색하며 스와이프 제스처까지 수행할 수 있다. 이를 통해 사용자가 설치한 뱅킹 또는 암호화폐 앱에 접근해 민감 정보를 탈취할 수 있다.
심지어 구글 인증기(Google Authenticator) 앱의 스크린샷을 캡처해, 2단계 인증에 사용되는 일회용 인증코드(OTP)를 가로채는 기능도 탑재됐다. 이 모든 과정은 사용자 몰래 이뤄지며, 공격자는 화면을 검게 만들고 소리를 음소거해 감염 사실을 감춘다.
현재까지 크로커다일루스는 주로 터키와 스페인을 타깃으로 활동하고 있으며, 해당 국가의 은행 앱들과 암호화폐 관련 앱들을 집중적으로 노리고 있다. 악성코드에 남겨진 디버그 메시지 등을 통해 제작자는 터키어 사용자인 것으로 추정되고 있다. 그러나 전문가들은 이 악성코드가 다른 국가로 빠르게 확산될 수 있다고 경고한다.
쓰렛패브릭(ThreatFabric)과 다수의 보안 커뮤니티 전문가들은 공통적으로 “절대로 구글 플레이 외부에서 APK를 다운로드하지 말 것”을 강조한다. 또한 “앱 설치 시 요청하는 권한을 신중히 확인하고, 접근성 서비스나 관리자 권한을 요구하는 앱은 각별히 주의해야 한다”고 조언한다.
구글의 ‘플레이 프로텍트’를 항상 활성화하고, 공식 앱스토어 이외의 출처에서 받은 파일이나 링크는 클릭하지 않는 것이 중요하다. OTP 인증기 앱 역시 스크린샷 캡처가 불가능한 앱을 사용하는 것이 보안을 강화하는 방법 중 하나로 제시된다.
한 보안 전문가는 “사회공학 기법은 기술적 보안보다 사람의 심리를 노리기 때문에 방어하기 어려운 측면이 있다”며 “사용자는 백업, 만료, 경고 등의 메시지에 무조건 반응하기 전에 공식 앱 여부를 반드시 확인하고 의심할 필요가 있다”고 강조했다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[IT 용어사전: 공유기 편] 최고 유선·무선 속도, Mesh가 뭐지?](https://www.ilovepc.co.kr/news/photo/202503/53761_146540_5938.jpg)
![[로터리] 스마트한 결제는 스마트한 규제로](https://newsimg.sedaily.com/2025/03/31/2GQGKOLL8C_1.jpg)